Der womöglich erste Trojaner für iOS, die nicht von Jailbreaks geschwächte iPhones und iPads befallen können, lautet auf den Namen AceDeceiver. Die Sicherheitsspezialisten von Palo Alto Networks haben heute einen ausführlichen Blogbeitrag veröffentlicht, in dem sie die Funktionsweise erklären. Derzeit besteht zwar keine konkrete Gefahr, da Apple bereits vor drei Wochen von Palo Alto informiert wurde und die von AceDeceiver in den App Store geschmuggelten Apps aus dem Angebot entfernt hat.
Malware für iOS ist zwar nicht Neues, für Jailbreaker stellt sie ein bekanntes Risiko dar. Auch hat es in der Vergangenheit Probleme mit manipulierten Unternehmenszertifikaten gegeben, über die sich auf davon befallene iPhones beliebige Apps installieren lassen. Die von Palo Alto aber so genannte AceDeceiver-Methodik ist potentiell in der Lage, Schadsoftware auf beliebige iPhones zu installieren und das ohne großes Zutun des Besitzers.
AceDeceiver kommt vom Man in the Middle
Das Problem besteht im DRM-Prozess des App Stores, in den sich “Men in the middle” einschmuggeln können, wie Palo Alto Networks erläutert. Kauft man eine App über iTunes im App Store und installiert sie auf dem iPhone, fragt das iPhone nach einem Autorisierungscode für jede installierte App, ob diese auch wirklich gekauft wurde. In der Man-in-the-Middle (MITM)-Attacke kaufen die Angreifer eine App und fangen den Autorisierungscode ab. Nun kommt aber noch eine manipulierte Windows-Software zum Einsatz, die dem iPhone vorgaukelt, wie iTunes zu handeln und diesem die Installation beliebiger Apps aufzwingt. Die Anwender installieren also Apps, die sie nie gekauft haben.
Drei solche Apps mit Schadcode waren dann an Apples Prüfungen vorbei in den App Store gelangt, allsamt Wallpaper-Apps. Um die Sicherheitsvorkehrungen zu umgehen, änderten die Apps je nach Region ihr Verhalten, Schadsoftware enthielten sie nur in der Variante für den chinesischen App Store. Nur in China war auch der manipulierte Desktop-Client “爱思助手 (Aisi Helper)” unterwegs. Dummerweise funktioniert die Weiterverbreitung von Malware auf iPhones theoretisch auch, wenn die App nur einmal im Store gewesen ist. Aisi Helper verspricht dem Anwender Dienste wie Neuinstallation, Backup oder Jailbreak, installiert in Wahrheit aber manipulierte Apps.
Diese setzen nun zum eigentlichen Scam an, indem sie vorgeben, zusätzliche Funktionen zu installieren. Dabei führen sie zu einem von den Hackern kontrollierten App Store und greifen dabei Apple IDs und die zugehörigen Passworte ab – hier entsteht der eigentliche Schaden.
Bisher sind nur Anwender in China betroffen, Palo Alto Networks warnt aber davor, dass auch in anderen Weltgegenden Betrüger sich die Masche zu nutze machen könnten. Die Gefahr der MITM-Attacke besteht weiterhin, nach einem Fix in iOS bestünde sie für ältere Versionen auch weiter.
Autor: Peter Müller, Stellv. Chefredakteur
Peter Müller ist seit 1998 bei der Macwelt und schreibt über alles, was einen Apfel drauf hat – oder wo Apple drin ist.