Masque Attack: iOS-Sicherheitslücke betrifft rund 95% aller iPhones und iPads
Alexander Trust, den 10. November 2014
Das Sicherheitsunternehmen FireEye hat eine neue Sicherheitslücke unter iOS öffentlich gemacht, die bislang von Apple noch nicht geschlossen wurde und theoretisch 95% aller Besitzer von iPhones, iPod touch und iPads betrifft.
Masque Attack nennt sich eine neue iOS-Sicherheitslücke, die entweder per USB oder WLAN ein Einfallstor findet. Betroffen sind die iOS-Version 7.1.1, 7.1.2, 8.0, 8.1 und selbst die jüngste Beta von iOS 8.1.1. Es ist dabei egal, ob es sich um ein Gerät mit oder ohne Jailbreak handelt. Damit Masque Attack aktiv werden kann, müssen Nutzer in jedem Fall eine App aus einer fremden Quelle installieren, wobei fremd bedeutet, nicht aus dem App Store.
Fehlende Zertifikat-Verifikation bei In-House-Apps
Um was für Apps handelt es sich? Grundsätzlich um alle Apps, die mithilfe eines Entwickler-Accounts für die Verwendung auf Geräten signiert wurden. Auf diese Weise fertigen Firmen Apps für die interne Nutzung an, geben aber Entwickler Apps auch weiter, um sie vor der Veröffentlichung im App Store zu testen. Das ist insoweit nicht problematisch und wird schon lange Zeit so betrieben.
Zur Sicherheitslücke wird das System der von Entwicklern signierten Apps dann, wenn Hacker damit vorhandene Apps imitieren. Denn Apple überprüft laut FireEye nicht, ob die signierten Zertifikate zu denjenigen anderer Apps identisch sind. Dann würde sich herausstellen, dass das neue Zertifikat nicht zu demjenigen einer vorhandenen App passt.
Apps hinterlassen Daten
App-Entwickler tun ihr Übriges, um aus diesem Einfallstor ein Sicherheitsloch immensen Ausmaßes zu machen. Von diversen Online-Banking-Apps war z. B. 2010 bekannt, dass sie Daten auf dem Gerät zurückließen, selbst wenn man sie deinstallierte. Oder aber sensible Daten, wie Logins und Session-Tokens wurden unverschlüsselt abgelegt. Wie nutzt das nun den Hackern, die mittels Masque Attack einen Angriff auf iPhone- oder iPad-Nutzer planen? Sie versuchen eine ihnen bekannte App zu kopieren, und zwar, falls bekannt, ebenfalls auf der Ebene der Dateipfade. Ganz so, wie wenn Nutzer eine App nach dem Löschen noch mal installieren und dann alte Einstellungen vorfinden, können die Hacker auf diesem Weg die Daten ausspionieren.
In jedem Fall aber muss der User zuvor eine App aus fremder Quelle installieren, die dann eben vorgibt, eine ganz andere App zu sein.
Bekannte Apps nachahmen
Darüber hinaus können die Hacker aber jede beliebige App nachahmen und gar nicht es versuchen wollen, Daten auszulesen, sondern den Nutzer dazu bringen, sie selbst einzugeben. FireEye hat dies am Beispiel der GMail-App belegt. So installierte man eine Fake-Kopie, die, wenn der Nutzer Login und Passwort eingab, diese an den Server des Unternehmens weiterleitete. Daraufhin konnte man alle vorhandenen E-Mails und Kontakte des betroffenen Accounts auslesen.
FireEye will Apple über die Sicherheitslücke bereits am 26. Juli 2014 informiert haben. Angesichts der Tatsache, dass das Verfahren laut des Sicherheitsdienstleisters selbst in der jüngsten Beta von iOS 8.1.1 noch immer funktioniere, scheint das Unternehmen bislang nicht auf den Hinweis reagiert zu haben.
Wie kann man sich vor Masque Attack schützen?
Nutzer sollten in jedem Fall…
- keine Apps von fremden Anbietern installieren, sondern Apps einzig aus dem App Store herunterladen.
- zu keiner Zeit beim Surfen im Internet irgendwelche Pop-ups bestätigen, auf denen zur Installation einer App aufgefordert wird.
- falls beim Öffnen einer App ein Warn-Hinweis erfolgt, es handele sich nicht um einen vertrauenswürdigen App-Entwickler, sofort auf „Nicht vertrauen“ klicken und die App sofort deinstallieren.
Potenziell gefährlich ist diese Situation deshalb, weil im Internet für manche Zielgruppen durchaus interessante Apps außerhalb des App Stores angeboten werden. So gibt es die Möglichkeit, auch ohne Jailbreak, einige Emulatoren zu installieren. Dies geschieht über den Umweg einer Webseite, die das genannte Pop-up zeigt, um die App zu installieren. Hacker könnten Nutzer mit solchen Apps ködern, die sich dann aber als Malware entpuppen.