App Store: Forscher schleusen Malware-App ein

Weder Apples Überprüfung noch die Codesignierung können die Ausführung von Malware verhindern. Die "Jekyll-App" enthält Codefragmente, die später für bösartige Programmabläufe umgeordnet werden. Das Forscherteam hält Apples meist nur statische Prüfung von Anwendungen für unzureichend.

Forschern ist erneut gelungen, Apples Prüfer zu täuschen und Malware in den App Store zu schleusen. Weder die vorgeschriebene Überprüfung noch Apples Codesignierung konnten die Ausführung von Malware auf iOS-Geräten verhindern. Die listenreiche App wurde von einer Forschergruppe des Georgia Institute of Technology eingereicht, meist kurz als Georgia Tech bezeichnet.
(Bild: Josh Lowensohn)(Bild: Josh Lowensohn)

„Unsere Methode erlaubt es Angreifern, verlässlich ein bösartiges Verhalten zu verbergen, dass ansonsten zu einer Abweisung ihrer App im Prüfungsprozess von Apple führen würde“, schreibt der als Doktorand beteiligte Long Lu, der inzwischen Assistenzprofessor für Informatik ist. Die so entwickelten Anwendungen bezeichnet er als „Jekyll-Apps“. Ihnen liegt die Idee zugrunde, signierte Codefragmente später umzuordnen und damit für bösartige Programmabläufe zu sorgen: „Da dieser Steuerungsablauf während der App-Überprüfung nicht vorhanden ist, können solche Anwendungen unentdeckt bleiben und mühelos Apples Genehmigung erhalten.“

Zum Beweis schuf das Forscherteam eine solche Jekyll-App und schleuste sie erfolgreich in den App Store ein. Mit ihr war es möglich, auf einer kontrollierten Gruppe von Geräten Angriffe auszuführen. Obwohl sie innerhalb der iOS-Sandbox lief, konnte sie bösartige Aufgaben erfüllen – etwa heimlich Tweets veröffentlichen, Fotos aufnehmen, Geräteinformationen entwenden, E-Mails und SMS versenden, andere Apps angreifen und sogar Kernel-Schwachstellen ausnutzen.

Das Einschleusen in den App Store erleichterte zudem die extrem kurze Prüfung des iPhone-Herstellers. Wie ein Überwachungscode der App selbst ermittelte, ließ Apples Prüfungsteam die Anwendung nur wenige Sekunden lang laufen. Laut Long Lu liegt der Fehler aber vor allem darin, dass dabei meist nur eine statische Analyse vorgenommen wird. Das sei nicht ausreichend, da dynamisch generierte Programmlogik auf diese Weise nicht so leicht zu erkennen sei.

„Die App telefonierte nach Hause, als sie installiert wurde und wartete auf Befehle“, erklärte Lu gegenüber MIT Technology Review. „Das gab uns die Gelegenheit, für einen neuen logischen Ablauf dieser App zu sorgen, den es während der Installation noch nicht gab.“ Schon wenige Minuten nach dieser Beweisführung entfernten die Forscher die Malware-App wieder aus dem App Store, um Downloads durch unbeteiligte Besucher zu vermeiden.

Der iPhone-Hersteller hat inzwischen reagiert und einige Veränderungen an seinem Mobilbetriebssystem iOS vorgenommen, wie Sprecher Tom Neumayr erklärte. Zu Apples Zulassungsprüfung für iOS-Apps wollte er jedoch ausdrücklich nicht Stellung nehmen.

[mit Material von Josh Lowensohn, News.com]

Themenseiten: Apple, Secure-IT, Smartphone, iOS, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu App Store: Forscher schleusen Malware-App ein

Kommentar hinzufügen
  • Am 2. Oktober 2013 um 10:42 von Mac-Harry.de

    Theoretisches Konstrukt mit der Aussage: Wenn kriminelle nur genug Energie aufbringen, brechen Sie mit Spezialwerkzeugen in das sicherste Haus ein. So kommt es, dass auch hin und wieder ein Raub statt findet.

    Doch wie sicher ist iOS?

    Im Gegensatz zu den 1 Mio. Schadprogrammen, die TrendMIcro für das Betriebssystem Android der Werbefirma Google identifiziert, ist iOS geradezu der Hort der Heiligen, in dem absolute Sicherheit herrscht!

    Android ist ja auch sicher, wenn man wie bei Windows nur genug Sicherheitssoftware installiert. Bei iOS ist das so überflüssig, wie beim Mac auch.

  • Am 26. Februar 2014 um 6:07 von Schlangenöl

    Da sieht man mal wieder: Nur weil ein schädlicher Code nicht gefunden wurde, heisst das noch lange nicht, dass keiner da ist.

    Das sollten sich alle User, explizit die Linux/iOS/MAC User mal zu Herzen nehmen….nur weil ihr jahrelang keine Meldungen bekommen habt ala “ hey, diese Datei da, hab ich mal als Virus erkannt“ heißt das nochlange nicht, dass da auch nichts ist…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *