Hacking Team schleuste gefälschte Apps auf iOS-Geräte

Der italienische Spyware-Hersteller Hacking Team hat gefälschte Apps entwickelt, um Nutzer von iPhones und iPads auszuspionieren. Wie die Sicherheitsfirma FireEye berichtet, wurde dabei eine im letzten Jahr entdeckte und eigentlich behobene Schwachstelle ausgenutzt. Demnach wurden Masque-Attack-Apps erstmals „in freier Wildbahn“ gesichtet und erlaubten auch erfolgreiche Spähangriffe auf Geräte, die nicht durch einen Jailbreak entsperrt waren.

Informationen zu den Methoden waren aus den 400 GByte veröffentlichten Daten zu entnehmen, die Hacking Team abhanden kamen, als es selbst Opfer eines Einbruchs in sein Computersystem wurde. Durch Reverse-Engineering konnten Doppelgänger-Apps geschaffen werden, die von den Originalen nicht zu unterscheiden waren. Sie kamen jedoch mit zusätzlichen Funktionen, um sensible Daten auf den Mobilgeräten auszuspähen und sie an einen entfernten Server zu übermitteln.

Eine gefälschte Facebook-App holt Zugriffsrechte ein (Bild: FireEye).

Gefälscht wurden vor allem beliebte Messenger und Social-Network-Apps. Dazu zählten Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram und VK. Da die Bundle-Identifier identisch sind mit denen der Originale in Apples App Store, können sie die echten Apps auf Geräten mit iOS-Version bis 8.1.3 unmittelbar ersetzen.

Laut Fire Eye kommt aber hinzu, dass die Bundle-Identifier durch die entfernten Angreifer veränderbar sind. Obwohl der Masque-Attack-Bug eigentlich gefixt wurde, soll es daher selbst bei Geräten mit aktuelleren Versionen des Mobilbetriebssystems als iOS 8.1.3 möglich sein, durch einen anderen und einmaligen Bundle-Identifier die Installation einer bösartigen App zu ermöglichen. Den Sicherheitsforschern zufolge können die schädlichen Doppelgänger-Apps vertraute Daten an die Angreifer senden, darunter Sprachmitschnitte von Skype, Textnachrichten von WhatsApp und Facebook Messenger, Browser-Verlauf, Anrufe, SMS-Inhalte, GPS-Daten und Fotos.

Die Masque-Attack-Schwachstelle machte es prinzipiell möglich, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer musste einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Ist eine gefälschte App einmal installiert, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann sie nicht nur deren Funktionen übernehmen, sondern auch auf die von ihr gespeicherten Daten zugreifen.

In den Hacking-Team-Dokumenten waren außerdem weitere Methoden zu finden, um persönliche Informationen aus Apps zu holen. Eine getarnte Anwendung könnte etwa als „Newsstand-ipa“ installiert und durch transparente Icons im Menü vor Entdeckung geschützt werden. Holt sie Zugriffsrechte ein, kann sie sensible Daten weitergeben – und dank einer Tastatur-Erweiterung zudem alle Eingaben des Nutzers.

„Das Sicherheitsrisiko bei Smartphones und Tablets wird nach wie vor unterschätzt“, mahnte FireEye-Manager Frank Kölmel. „Für Nutzer sind professionell durchgeführte, gezielte Cyberangriffe nur schwer zu bemerken, und so geben sie ungeahnt unzählige Informationen preis, ohne sich dessen bewusst zu sein.“

„Dank der von Hacking Team durchgesickerten Angriffswerkzeuge haben wir jetzt erlebt, wie fortgeschrittene und gezielte Attacken durchgeführt werden“, schreibt in einem Blogeintrag Zhaofeng Chen, einer der Sicherheitsforscher von FireEye. „Wir empfehlen allen iOS-Nutzern, ihre Geräte immer auf die neuste iOS-Version zu aktualisieren und genau darauf zu achten, woher sie ihre Apps beziehen.“