Malware AceDeceiver kann nicht-gejailbreakte iOS-Geräte befallen

Palo Alto Networks warnt vor einer neuen iOS-Malware, die in der Lage ist, jegliche iPhones und iPads zu infizieren – also auch Geräte, die nicht per Jailbreak freigeschaltet wurden. AceDeceiver benötigt auch keine Enterprise-Zertifikate, um sich selbst zu installieren. Stattdessen nutzt die Malware eine Schwachstelle in Apples digitaler Rechteverwaltung FairPlay.

„AceDeceiver ist die erste uns bekannte iOS-Malware, die bestimmte Designfehler in Apples DRM-Schutz ausnutzt, um gefährliche Apps auf iOS-Geräten zu installieren, egal ob sie gejailbreakt wurden oder nicht“, heißt es in einem Blogeintrag von Claud Xiao, Security Researcher bei Palo Alto Networks. „Die Technik wird ‚FairPlay Man-in-the-Middle‘ (MITM) genannt und seit 2013 benutzt, um raubkopierte iOS-Apps zu verbreiten. Es ist aber das erste Mal, dass wir erleben, dass sie für die Verbreitung von Malware eingesetzt wird.“

Apple erlaubt es seinen Nutzer, iOS-Apps auch über die iTunes-Software auf ihren PCs oder Macs zu kaufen. Diese Apps können sie anschließend über ihren Computer auf ihrem iOS-Gerät installieren. Ein Autorisierungscode stellt dabei sicher, dass die App auch tatsächlich gekauft wurde. Wird dieser Code abgefangen, kann mithilfe einer speziellen PC-Software die App auf iOS-Geräten installiert werden.

Palo Alto Networks zufolge wurde AceDeceiver über drei verschiedene iOS-Wallpaper-Apps verteilt, die Hacker an Apples Sicherheitsprüfungen vorbei in den offiziellen App Store einschleusten. Sie waren zwischen Juli 2015 und Februar 2016 in den App Stores in Hongkong, Neuseeland, Großbritannien und den USA erhältlich. Apple habe die Anwendungen am 25. Februar entfernt.

„Der Angriff ist aber immer noch durchführbar, weil der FairPlay-MITM-Angriff nur voraussetzt, dass die Apps einmal im App Store erhältlich waren“, so Xiao weiter. „Solange die Angreifer eine Kopie der Autorisierung von Apple erbeuten konnten, müssen die Apps nicht mehr über den App Store verbreitet werden.“

Der FairPlay-MITM-Angriff an sich werde über einen Windows-Client namens Aisi Helper ausgeführt. Die Software gebe vor, Funktionen wie System-Backup, Systembereinigung und Jailbreak zur Verfügung zu stellen. Stattdessen installiere sie gefährliche Apps auf mit dem PC verbundene iOS-Geräte. Sie stellten eine Verbindung zu einem von den Hackern kontrollierten App Store her, um weitere Anwendungen und Spiele herunterzuladen. Danach ermutige die Malware Nutzer, ihre Apple-ID und Passwort einzugeben, um zusätzliche Funktionen freizuschalten. Diese Daten wiederum würden an einen von den Hackern kontrollierten Server übertragen.

Bisher betrifft AceDeceiver ausschließlich Nutzer in China. „Das größere Problem ist, dass AceDeceiver ein Beleg für eine weitere relativ einfache Möglichkeit ist, nicht-gejailbreakte iOS-Geräte mit Malware zu infizieren“, ergänzte Xiao. „Deswegen ist es wahrscheinlich, dass das künftig auch andere Regionen weltweit betrifft, egal ob durch diese Angreifer oder durch andere, die die Technik kopieren.“

Gegen eine massenhafte Verbreitung von AceDeceiver und ähnlichen Schadprogrammen spricht dem Forscher zufolge derzeit nur der Umstand, dass zuerst der PC eines Nutzers mit Malware infiziert werden muss. Die eigentliche Installation der iOS-Malware erfolge danach jedoch im Hintergrund und ohne jegliche Interaktion mit dem Opfer. Eine Infektion eines iPhone oder iPad lasse sich nur an einem zusätzlichen Programmsymbol auf dem Home-Bildschirm erkennen.

[mit Material von Natalie Gagliordi, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.