2363393

Talos: iPhones per Zertifikat und MDM ausgespäht

17.07.2018 | 14:14 Uhr |

Das Ausspähen der iPhones erfolgte mit Hilfe eines MDM-Systems, wie es Unternehmen verwenden.

Über ein so genanntes MDM-System wie die Open-Source-Lösung "mdm-server" kann ein Unternehmen die iOS-Geräte ihrer Angestellten verwalten, dazu gehört auch die Installation von Apps. Wie die Sicherheitsspezialisten von Cisco Talos berichten , nutzten jetzt in Indien Hackern die Open-Source-Lösung für das Ausspähen von 13 iPhones.

Das ist eher ungewöhnlich: Um ein iPhone über einen solchen MDM-Server zu verwalten, muss zuvor ein so genanntes „Enrollment“ stattfinden, etwa die Installation eines Zertifikats auf dem iPhone. Dies muss der Nutzer eigens bestätigen, vermutlich gelang den Angreifern aber die Konfiguration per Social Engineering oder den direkten Zugriff auf die Geräte. So nutzte der Angreifer als Homepage die unverdächtig klingende Adresse ios-certificate-update.com.

Die Angreifer konnten dann über den Verwaltungsserver präparierte Versionen von insgesamt fünf Apps per Push installieren, darunter WhatsApp und Telegram auf den iPhone ihrer Opfer. Diese als Spyware fungierenden Versionen übertrugen daraufhin Daten wie SMS und Standortdaten an die Angreifer. Laut Talos handelte es sich um zwei verschiedene Server, die Angreifer stammen wohl ebenfalls aus Indien.

Bei der Registrierung der benötigten Zertifikate wurden zwar kroatische Namen und russische Adressen angegeben, dies ist laut Talos aber zur Verschleierung üblich und kein Hinweis auf die Herkunft. Verwendet wurde die Malware offenbar schon seit 2015, Ziel waren das Stehlen von SMS, Ortung und Sammeln von Informationen.

Laut Entdeckern setzt der Angriff aber in mehreren Schritten ausdrückliche Bestätigungen des Opfers für mehrere Aktionen voraus.  Oft werde ein solcher Angriff deshalb von einem angeblichen Support-Anruf begleitet.

Unsere Meinung : Schutz gegen Social Engineering war schon immer ein Problem, offenbar gilt dies eben auch für iOS. Für die meisten iPhone-Benutzer sind Zertifikate ja außerdem völlig unbekannt. Ruft ein Unbekannter im Namen von Apple oder des Arbeitgebers an und fordert zum "Update" eines Zertifikats auf oder Installation einer Software auf, sollte aber jeder misstrauisch werden.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2363393