News & Rumors: 10. November 2014,

Masque Attack: iOS-Sicherheitslücke betrifft rund 95% aller iPhones und iPads

iPhone 6
iPhone 6 und iPhone 6 Plus

Das Sicherheitsunternehmen FireEye hat eine neue Sicherheitslücke unter iOS öffentlich gemacht, die bislang von Apple noch nicht geschlossen wurde und theoretisch 95% aller Besitzer von iPhones, iPod touch und iPads betrifft.

Masque Attack nennt sich eine neue iOS-Sicherheitslücke, die entweder per USB oder WLAN ein Einfallstor findet. Betroffen sind die iOS-Version 7.1.1, 7.1.2, 8.0, 8.1 und selbst die jüngste Beta von iOS 8.1.1. Es ist dabei egal, ob es sich um ein Gerät mit oder ohne Jailbreak handelt. Damit Masque Attack aktiv werden kann, müssen Nutzer in jedem Fall eine App aus einer fremden Quelle installieren, wobei fremd bedeutet, nicht aus dem App Store.

Fehlende Zertifikat-Verifikation bei In-House-Apps

Um was für Apps handelt es sich? Grundsätzlich um alle Apps, die mithilfe eines Entwickler-Accounts für die Verwendung auf Geräten signiert wurden. Auf diese Weise fertigen Firmen Apps für die interne Nutzung an, geben aber Entwickler Apps auch weiter, um sie vor der Veröffentlichung im App Store zu testen. Das ist insoweit nicht problematisch und wird schon lange Zeit so betrieben.

Zur Sicherheitslücke wird das System der von Entwicklern signierten Apps dann, wenn Hacker damit vorhandene Apps imitieren. Denn Apple überprüft laut FireEye nicht, ob die signierten Zertifikate zu denjenigen anderer Apps identisch sind. Dann würde sich herausstellen, dass das neue Zertifikat nicht zu demjenigen einer vorhandenen App passt.

Apps hinterlassen Daten

App-Entwickler tun ihr Übriges, um aus diesem Einfallstor ein Sicherheitsloch immensen Ausmaßes zu machen. Von diversen Online-Banking-Apps war z. B. 2010 bekannt, dass sie Daten auf dem Gerät zurückließen, selbst wenn man sie deinstallierte. Oder aber sensible Daten, wie Logins und Session-Tokens wurden unverschlüsselt abgelegt. Wie nutzt das nun den Hackern, die mittels Masque Attack einen Angriff auf iPhone- oder iPad-Nutzer planen? Sie versuchen eine ihnen bekannte App zu kopieren, und zwar, falls bekannt, ebenfalls auf der Ebene der Dateipfade. Ganz so, wie wenn Nutzer eine App nach dem Löschen noch mal installieren und dann alte Einstellungen vorfinden, können die Hacker auf diesem Weg die Daten ausspionieren.
In jedem Fall aber muss der User zuvor eine App aus fremder Quelle installieren, die dann eben vorgibt, eine ganz andere App zu sein.

Bekannte Apps nachahmen

Darüber hinaus können die Hacker aber jede beliebige App nachahmen und gar nicht es versuchen wollen, Daten auszulesen, sondern den Nutzer dazu bringen, sie selbst einzugeben. FireEye hat dies am Beispiel der GMail-App belegt. So installierte man eine Fake-Kopie, die, wenn der Nutzer Login und Passwort eingab, diese an den Server des Unternehmens weiterleitete. Daraufhin konnte man alle vorhandenen E-Mails und Kontakte des betroffenen Accounts auslesen.

FireEye will Apple über die Sicherheitslücke bereits am 26. Juli 2014 informiert haben. Angesichts der Tatsache, dass das Verfahren laut des Sicherheitsdienstleisters selbst in der jüngsten Beta von iOS 8.1.1 noch immer funktioniere, scheint das Unternehmen bislang nicht auf den Hinweis reagiert zu haben.

Wie kann man sich vor Masque Attack schützen?

Nutzer sollten in jedem Fall…

  1. keine Apps von fremden Anbietern installieren, sondern Apps einzig aus dem App Store herunterladen.
  2. zu keiner Zeit beim Surfen im Internet irgendwelche Pop-ups bestätigen, auf denen zur Installation einer App aufgefordert wird.
  3. falls beim Öffnen einer App ein Warn-Hinweis erfolgt, es handele sich nicht um einen vertrauenswürdigen App-Entwickler, sofort auf „Nicht vertrauen“ klicken und die App sofort deinstallieren.

Potenziell gefährlich ist diese Situation deshalb, weil im Internet für manche Zielgruppen durchaus interessante Apps außerhalb des App Stores angeboten werden. So gibt es die Möglichkeit, auch ohne Jailbreak, einige Emulatoren zu installieren. Dies geschieht über den Umweg einer Webseite, die das genannte Pop-up zeigt, um die App zu installieren. Hacker könnten Nutzer mit solchen Apps ködern, die sich dann aber als Malware entpuppen.






Zuletzt kommentiert



 6 Kommentar(e) bisher

  •  Michael Block (10. November 2014)

    Ach was ! Glückwunsch zu der tollen Recherche!

  •  Ein Entwickler (10. November 2014)

    Der User muss für „Drive-By“ auf Webseiten den Download bestätigen, über ein synchronisiertenconputer musste erstmal Schadsoftware auf dem Computer landen.
    In beiden Fällen muss der Benutzer bestatigen, dass er App von der signierenden Firma vertraut.
    Das bewertet ihr ernsthaft als Sicherheitslücke?
    Apple kann bei Missbrauch die Enterprise-Zertifikate deaktivieren.

  •  Alexander Trust (10. November 2014)

    Das bezeichnet die Sicherheitsfirma FireEye als Sicherheitslücke, ja. Eine Sicherheitslücke ist nicht definiert durch ihren Gebrauch, sondern durch ihre mögliche Verwendung. IdR werden Lücken ja erst gepatcht und dann darüber berichtet. Entsprechend entsteht kaum Schaden.

    Natürlich kann Apple die Zertifikate deaktivieren, und hat es bei WireLurker getan. Aber wenn Apple immer nur nachträglich die Zertifikate deaktiviert, kommt immer auch vorher jemand zu Schaden, weil man anders ja nicht darüber erfährt. Das wäre so, als würde ich ein Feuer immer erst löschen, wenn es schon gebrannt hat.

    Dabei ist die Vermeidung möglich, indem Apple die Zertifikate vorher gegeneinander abgleicht.

    Dazu kommt das durchaus relevante Beispiel mit vertrauenswürdiger Software, wie ich sie im Artikel am Beispiel von Emulatoren genannt habe. Natürlich klicken Nutzer dann gerne auf ja, wenn sie das Gefühl haben, das, was sie dort bekommen, wollen sie gerne haben. Auf diese Weise funktionieren ja auch Phishing-Attacken.

  •  Ein Entwickler (10. November 2014)

    Du kannst auf deinem Computer software installieren die böse Dinge macht ohne das Zertifikate abgeglichen werden. Ist das eine Sicherheitslücke?

  •  Alexander Trust (10. November 2014)

    Nein, wenn ich Otto-Normal-Mac-Nutzer bin, und mich nur wenig auskenne, dann hat Apple für diesen Fall Vorkehrungen getroffen.

    Apple hat unter OS X genau aus diesem Grund die Sandbox eingerichtet, die es nicht erlaubt Software von Drittanbietern zu installieren. Wenn man doch Software von Drittanbietern einrichten möchte, dann muss man zunächst in den Einstellungen das Admin-Passwort angeben und die Nutzung von fremder Software explizit zulassen. Das gibt es unter iOS so nicht.

    Darüber hinaus kannst du vielleicht besser sagen, wenn Du dich auskennst, ob es unter OS X funktioniert, eine vorhandene App durch eine Fake-App zu ersetzen, weil das Betriebssystem die Signatur-Zertifikate nicht gegeneinander abgleicht.

    Denn darum ging es ja bei Masque Attack: Im Beispiel hat FireEye die „offizielle“ GMail-App durch eine eigene, manipulierte Version ersetzt, weil man dieselben Bundle IDs nutzte. An die notwendigen Informationen kommt jeder, der sich die Programmpakete auf einem jailbroken Device herunterlädt. Wenn der Nutzer dann aufgefordert wird, Angry Birds zu installieren, weil er irgendwo nach dem Spiel im Web gesucht hat, aber auf einer präparierten Webseite landet, und dann nicht Angry Birds installiert wird, sondern die eigene Gmail, Facebook, oder oder App mit Malware ersetzt wird, ist das durchaus ein Problem.

  •  Matze (13. November 2014)

    Das kann so nicht weitergehen.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>