2178979

Zerghelper: Cydia-Clon im offiziellen App Store gefunden

24.02.2016 | 14:07 Uhr |

Bevor es eine Applikation in den App Store von Apple schafft und von den Anwendern heruntergeladen werden kann, wird sie kontrolliert und auf Sicherheitslücken überprüft. In der Vergangenheit schafften es nur wenige Apps, Apples Sicherheitsvorkehrungen auszutricksen. In China haben es nun Raubkopierer geschafft, den kompletten App Store zu knacken.

Wie der Stern berichtet, konnten Unbekannte den chinesischen App Store hacken, sodass die Anwender über eine bestimmte App unbemerkt Raubkopien herunterladen konnten. Demnach soll es sich bei der App, die übersetzt den Namen „Happy Daily Englisch“ trägt, um ein Sprachlern-Programm gehandelt haben, welche jedoch „wie ein vollwertiger zweiter App Store funktionierte“. Die Sicherheitsmitarbeiter von Apple konnten vorerst nichts Ungewöhnliches an der App feststellen, da die Anwender diese versteckte Funktion nur in China benutzen konnten. Alle anderen Anwender sahen in der App lediglich die Sprach-App. Dabei gingen die Hacker sehr geschickt vor. Da man normalerweise nur Apps aus dem offiziellen Apple App Store herunterladen kann, benutzten die Hacker einen Teil aus der Windows-Version von iTunes und bauten diese neben ebenfalls missbrauchten Entwicklerzertifikaten in ihrer App ein.
 

Über die Sprachlern-App konnten die Anwender in China nicht verifizierte Apps auf iOS-Geräte herunterladen.
Vergrößern Über die Sprachlern-App konnten die Anwender in China nicht verifizierte Apps auf iOS-Geräte herunterladen.
© Apple App Store/Palo Alto Networks


Palo Alto Networks fand allerdings heraus, worum es sich bei der App tatsächlich handelte und informierte daraufhin Apple, welches schnell reagierte und die App aus dem App Store nahm. Trotzdem konnte die App über drei Monate in dem offiziellen App Store heruntergeladen werden, denn die erste Version der Sprachlern-App erschien im Oktober 2015. Die ersten Meldung in den Sicherheitsforen kamen am 19. Februar. Am gleichen Tag haben die Palo-Alto-Entwickler Apple kontaktiert, wenige Stunden später hatten Apple-Mitarbeiter die App wieder aus dem Store gelöscht. Wie Palo Alto Networks auf ihrer Website beschreibt , konnte man über die App modifizierte Versionen von iOS-Apps herunterladen, ohne dass vorher deren Sicherheit geprüft wurde. Darüber hinaus sammelte die App auch persönliche Daten, wie beispielswiese Apple IDs. Zudem soll die App einige neue riskante Techniken benutzt haben, welche auch von anderen Malware-Programmen genutzt werden könnten, um das iOS-System anzugreifen.

Wie die App funktionierte:

Mehrere Techniken haben die chinesischen Hacker angewendet, um überhaupt die App durch das Prüfprozedere von Apple durchzuschleusen. Hat man die App auf dem eigenen iPhone installiert, verband sie sich mit einem entfernten Server xyzs.com. Hatte der Server festgestellt, die Abfrage kam von einer IP-Adresse außerhalb Chinas, blendete sich eine normale Sprach-App ein. Verband sich mit dem Server ein iPhone über eine chinesische IP-Adresse, wurde in der App der alternative App Store mit den Clon-Apps eingeblendet. Des Weiteren haben wohl die Hacker die Verbindungsprotokolle zwischen dem Apples App Server und der eigenen App so verändert, als dass sich die App gegenüber dem legitimen Server als eine iTunes-Version unter Windows 7 identifiziert. Eben durch diese Technik war es in der App möglich, einen alternativen App Store zu betreiben. Noch eine Überraschung in den Tiefen  der App: Damit sie die geclonten Apps installieren konnte, hat sich die App bei jeder Installation als ein Xcode-Client ausgegeben, von Apple ein freies Developer-Zertifikat angefragt (dies ist ab Version 7 von Xcode möglich), und mit diesem Zertifikat die Apps auf die iPhones installiert, die gar nicht in den offiziellen App Store geschafft haben und wohl meistens entweder kopiert oder gecrackt sind. Die Palo Alto Forscher merken an, dass es mit dem Zerghelper – so haben sie die App genannt – zum ersten Mal gelungen sei, die freien Entwickler-Zertifikate auf einer automatisierten Basis zu missbrauchen.

0 Kommentare zu diesem Artikel
2178979