Sicherheitslücke im iOS-Codesigning: Apps ohne Prüfung in den App Store einschleusen

kg, den 8. November 2011

Ein Fehler im Codesigning auf iOS-Geräten ermöglicht es, Malware-Anwendungen ohne Apples vorherige Überprüfung in den App Store zu bekommen. Entdeckt wurde die Schwachstelle vom Sicherheitsexperten Charlie Miller, der Details dazu in der kommenden Woche vorstellen will.

Mal ehrlich: Wie viel Gedanken macht man sich als iPhone-Nutzer beim Installieren von Apps aus Apples App Store? Grundsätzlich geht jede App durch einen gründlichen (und teils langwierigen) Prüfprozess, der Qualität und Funktionalität der Apps sicherstellen soll. Genau dieser Prüfprozess kann allerdings umgangen werden – und könnte dafür sorgen, dass sich unbescholtene Nutzer Malware auf ihre iDevices holen.

Sicherheitsexperte Charlie Miller weist auf eine Schwachstelle im Codesigning des iOS hin, die von Entwicklern dafür genutzt werden kann, Apps an Apples Prüfung vorbei in den App Store zu bringen. Wird damit auch Malware auf das Gerät übertragen, könnte diese z. B. dafür genutzt werden, das Adressbuch auszulesen, den Vibrationsalarm oder einen Klingelton zu starten und Fotos herunterzuladen.

Konkrete Informationen will Miller in der kommenden Woche bei der SysCan-Konferenz in Taiwan preisgeben, einen ersten Einblick gibt es hier:

[mn-youtube id="ynTtuwQYNmk"]

Laut Forbes soll Miller die Schwachstelle bereits bei iOS 4.3 entdeckt haben. Sie wurde bereits an Apple weitergegeben – um die Chance einzuräumen, die Lücke zeitnah zu schließen. „Zum Dank“ wurde Miller seitens Apple nicht nur der Zugang zum iOS Developer Programm gesperrt, mittlerweile wurden auch sämtliche seiner Anwendungen aus dem App Store verbannt. Eine Stellungnahme seitens Apple wurde angefragt, eine Antwort gab es bisher allerdings nicht.


Ähnliche Nachrichten