2172607

FireEye: iOS-Sicherheitsrisiko JSPatch

29.01.2016 | 11:04 Uhr |

Ein Codeschnippsel in iOS-Apps kann ein potentielles Sicherheitsrisiko bergen - aber auch Vorteile bieten.

Mit dem Tool JSPatch können Entwickler ihre iOS-Apps im laufenden Betrieb aktualisieren. Der nur wenige Zeilen umfassende Code lädt JavaScript von einem externen Server nach und interpretiert den Code als Objective-C. Der Vorteil: Ohne einen langwierigen Freigabeprozess können App-Entwickler ihre Programme stets auf dem aktuellen Stand halten, weshalb auch immer mehr Entwickler diese Möglichkeit nutzen. JSPatch erinnert dabei an Hot Patching, hier können Entwickler ihre Software ohne Apples Review-Prozess aktualisieren.

Sicherheitsexperten warnen jedoch davor, dass sich auf diese Weise auch Schadcode in vermeintlich harmlose Apps nachträglich einschmuggeln ließe."JSPatch ist zwar ein Segen für Entwickler," warnt daher das Securityunternehmen FireEye in seinem Blog , "in den richtigen Händen kann man es dazu nutzen schnell und effektiv Patches und Updates auszuliefern. Aber in einer nicht-utopischen Welt wie der unsrigen müssen wir annehmen, dass üble Gestalten diese Technologie für Zwecke ausnutzen, für die sie nicht gedacht ist."

Das mit JSPatch mögliche Hot Patching widerspricht der Philosophie des App Stores, in dem Apple neue Apps überprüft, ob sie nicht gegen Richtlinien verstoßen. Nachträglich eingespielter Code könnte aber etwa APIs ansprechen, welche die Grundversion der App nicht deklariert hat. So könnten Apps nachträglich Funktionen bekommen, die bei einer Prüfung zur Ablehnung durch den App Store geführt hätten. Denkbar ist laut FireEye etwa, dass derartige Apps die Systemeinstellungen ändern, Metadaten aus den Fotos in der Fotoapp auslesen oder sich Daten aus der Zwischenablage von iOS holen. Noch seien die Möglichkeiten zwar begrenzt, doch könnten potentielle Angreifer mehr Zugriff auf das System bekommen, wenn die Entwickler von JSPatch das Tool entsprechend ausweiten und mehr Code interpretieren können. Gefahr bestünde nicht nur durch Entwickler mit schlechten Absichten, auch Werbenetzwerke könnten potentiell die Möglichkeiten von JSPatch missbrauchen. Zudem könnten Dritte eine unverschlüsselte Verbindung zwischen App und JavaScript-Server abhören.

Das Fazit von FireEye in Kürze: JSPatch erlaube die Umgehung der Sicherheitsrichtlinien des App Stores, potentielle Täter seien aber nur schwer zu identifizieren.

0 Kommentare zu diesem Artikel
2172607