FireEye entdeckt schädliche Backdoors in tausenden iOS-Apps

Die Sicherheitsspezialisten von FireEye haben Backdoor-Versionen einer Anzeigenbibliothek in tausenden iOS-Apps entdeckt, die ursprünglich in Apples App Store veröffentlicht wurden. Die betroffenen Versionen der Bibliothek wurden zum Ausliefern von Anzeigen verwendet und ermöglichten potenziell Zugriff auf vertrauliche Nutzerdaten sowie Gerätefunktionen.

Die Backdoors konnten per Fernzugriff durch das Laden eines JavaScript-Codes von einem Remote-Server gesteuert werden, um verschiedene Aktionen auf einem iOS-Gerät durchzuführen. Dazu zählten die Aufnahme von Audio-Inhalten und Screenshots, das Überwachen und Übermitteln von Ortungsdaten, das Lesen, Löschen, Erstellen und Verändern der Dateien im Datencontainer der App und das Senden verschlüsselter Daten an den Remote-Server.

Außerdem ließen sich die App-Keychain, etwa der App-Passwortspeicher, auslesen, überschreiben oder zurücksetzen und URL-Schemas zur Identifizierung sowie zum Start anderer auf dem Gerät installierter Anwendungen öffnen. Die Backdoors ermöglichten ebenfalls Sideloading von nicht aus dem App Store stammenden Applikationen, indem der Nutzer aufgefordert wurde, auf eine Schaltfläche „Installieren“ zu klicken.

Bei einer Analyse der betroffenen Anzeigenbibliothek stellte FireEye fest, dass die Ursache des Problems offenbar eine Version des vom chinesischen Werbedienstleister adSage veröffentlichten mobiSage SDK ist. Es fand 17 verschiedene Backdoor-Varianten der Bibliothek mit den Versionsnummern 5.3.3 bis 6.4.4. In der jüngsten Ausgabe 7.0.5 sind die potentiellen Hintertüren jedoch nicht mehr enthalten. Unklar ist, ob die Backdoor-Versionen der Anzeigenbibliothek von adSage selbst stammen oder von Dritten erstellt und/oder kompromittiert wurden.

Bis zum 4. November identifizierte FireEye nach eigenen Angaben 2846 iOS-Apps, die Backdoor-Versionen des mobiSage SDK enthielten. Über 900 davon versuchten, den Ad-Server zu kontaktieren, der den JavaScript-Code zur Kontrolle der Backdoors liefern konnte. Am 21. Oktober übermittelte FireEye die komplette Liste der schädlichen Apps sowie die zugehörigen technischen Details an Apple.

Laut dem Sicherheitsanbieter gibt es keine Anzeichen dafür, dass vom Ad-Server tatsächlich schädliche Befehle ausgingen, um Nutzerdaten zu stehlen. Allerdings hätten betroffene Apps regelmäßig den Server kontaktiert, um zu prüfen, ob neuer JavaScript-Code vorliegt. Angreifer hätten so die Backdoors einfach ausnutzen können, um darüber Schadcode auf ein iOS-Gerät zu schleusen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de