2117870

Gefälschter Xcode schleust Schnüffel-Code in iOS-Apps

18.09.2015 | 12:01 Uhr |

Seit einem halben Jahr verbreitet sich eine gefälschte Xcode-Version auf chinesischen Download-Seiten. Zwei damit erstellte Apps haben in den App Store geschafft.

Seit rund einem halben Jahr verbreiten sich in China gefälschte Kopien von Xcode 6.2 bis 6.4. Im Unterschied zu der offiziellen Version von den Apple beinhalten diese Kopien die Malware XcodeGhost. Wenn Entwickler neue Apps mit der gefälschten Version kompilieren, ersetzt die Malware in den Apps einen Teil des Codes gegen eigene Zeilen. Die so eingeschleuste Software greift auf die persönlichen Daten wie UDID des Geräts, den Netzwerk-Typ und andere zu. Die verseuchte App leitet dann unbemerkt die eingesammelten Daten zu dem vordefinierten Server. Die Forscher von Palo Alto Networks haben herausgefunden , dass die Server auch in Verbindung mit dem letzten Hack auf die chinesischen iCloud-Konten stehen ( Bericht der Macwelt ). Die Namen der Server sind identisch oder sehr ähnlich denen, die als Verbindung für den Trojaner KeyRaider dienten.

Der Angriff startete vor rund einem halben Jahr, um diese Zeit wurden die gefälschten Xcode-Kopien auf unterschiedliche Sharing-Plattformen hochgeladen. Da in China die Internetverbindung manchmal langsam und unzuverlässig ist, suchen die dortige Entwickler andere Installationsquellen als die offiziellen Apple Server für Xcode. So kam die verseuchte Software in Umlauf. Der Developer merkt selbst nicht, dass Xcode die Apps manipuliert und setzt so mit ruhigen Gewissen verseuchte Apps in die Welt. Der chinesische Entwickler JoeBlue hat mindestens zwei Apps in dem chinesischen App Store ausfindig gemacht, die es durch Apples Prüfung schafften, aber dennoch den Schad-Code in sich trugen.

Die Forscher von Palo Alto Networks sehen hier Risiken nicht für die Nutzer, die ihre Apps durch den App Store beziehen, sondern für die Nutzer im Unternehmensbereich. Denn spezielle Apps, entwickelt für bestimmte Unternehmen, werden nie von Apple getestet, sondern sofort auf die Geräte der Nutzer verteilt. Da der boshafte Code sehr gut versteckt ist, ist es sehr schwer für den Nutzer wie auch für den Entwickler festzustellen, ob die App verseucht ist.

0 Kommentare zu diesem Artikel
2117870