FireEye entdeckt schädliche Backdoors in tausenden iOS-Apps

Sie kamen offenbar durch das mobiSage SDK des chinesischen Werbedienstleisters adSage in 2846 Anwendungen. Theoretisch konnten Angreifer darüber Malware einschleusen, um Fernzugriff auf Nutzerdaten und Gerätefunktionen zu erhalten. Inzwischen sind die Hintertüren geschlossen.

Die Sicherheitsspezialisten von FireEye haben Backdoor-Versionen einer Anzeigenbibliothek in tausenden iOS-Apps entdeckt, die ursprünglich in Apples App Store veröffentlicht wurden. Die betroffenen Versionen der Bibliothek wurden zum Ausliefern von Anzeigen verwendet und ermöglichten potenziell Zugriff auf vertrauliche Nutzerdaten sowie Gerätefunktionen.

Malware (Bild: Shutterstock/Blue Island)Die Backdoors konnten per Fernzugriff durch das Laden eines JavaScript-Codes von einem Remote-Server gesteuert werden, um verschiedene Aktionen auf einem iOS-Gerät durchzuführen. Dazu zählten die Aufnahme von Audio-Inhalten und Screenshots, das Überwachen und Übermitteln von Ortungsdaten, das Lesen, Löschen, Erstellen und Verändern der Dateien im Datencontainer der App und das Senden verschlüsselter Daten an den Remote-Server.

Außerdem ließen sich die App-Keychain, etwa der App-Passwortspeicher, auslesen, überschreiben oder zurücksetzen und URL-Schemas zur Identifizierung sowie zum Start anderer auf dem Gerät installierter Anwendungen öffnen. Die Backdoors ermöglichten ebenfalls Sideloading von nicht aus dem App Store stammenden Applikationen, indem der Nutzer aufgefordert wurde, auf eine Schaltfläche „Installieren“ zu klicken.

Bei einer Analyse der betroffenen Anzeigenbibliothek stellte FireEye fest, dass die Ursache des Problems offenbar eine Version des vom chinesischen Werbedienstleister adSage veröffentlichten mobiSage SDK ist. Es fand 17 verschiedene Backdoor-Varianten der Bibliothek mit den Versionsnummern 5.3.3 bis 6.4.4. In der jüngsten Ausgabe 7.0.5 sind die potentiellen Hintertüren jedoch nicht mehr enthalten. Unklar ist, ob die Backdoor-Versionen der Anzeigenbibliothek von adSage selbst stammen oder von Dritten erstellt und/oder kompromittiert wurden.

ANZEIGE

Trust Gap Survey: Status der Vertrauenslücke 2015

Der umfassende Einsatz von Mobilgeräten für berufliche Zwecke hat bei Mitarbeitern zu einem grundlegenden Wandel der Bewertung des Datenschutzes für ihre privaten Daten auf Mobilgeräten geführt. Vor 10 Jahren stellten Arbeitgeber den Arbeitnehmern Computer und Software zur Verfügung. Die meisten Mitarbeiter gingen daher davon aus, dass die Daten und Aktivitäten auf diesen Computern vom Arbeitgeber überwacht werden.

Bis zum 4. November identifizierte FireEye nach eigenen Angaben 2846 iOS-Apps, die Backdoor-Versionen des mobiSage SDK enthielten. Über 900 davon versuchten, den Ad-Server zu kontaktieren, der den JavaScript-Code zur Kontrolle der Backdoors liefern konnte. Am 21. Oktober übermittelte FireEye die komplette Liste der schädlichen Apps sowie die zugehörigen technischen Details an Apple.

Laut dem Sicherheitsanbieter gibt es keine Anzeichen dafür, dass vom Ad-Server tatsächlich schädliche Befehle ausgingen, um Nutzerdaten zu stehlen. Allerdings hätten betroffene Apps regelmäßig den Server kontaktiert, um zu prüfen, ob neuer JavaScript-Code vorliegt. Angreifer hätten so die Backdoors einfach ausnutzen können, um darüber Schadcode auf ein iOS-Gerät zu schleusen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Apple, FireEye, Security, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu FireEye entdeckt schädliche Backdoors in tausenden iOS-Apps

Kommentar hinzufügen
  • Am 5. November 2015 um 12:26 von MacSischer

    Ich kann gar nicht mehr aufhören mit dem lauten Lachen. iOS ist sischer, ganz sischer und die APPs aus dem AppleStore sind auch ganz sischer von Apple geprüft. Da könnt ihr euch alle ganz sischer drauf verlassen.

    • Am 5. November 2015 um 12:52 von user v0.8

      Viel interessanter als Dein hysterisches Gelächter, wäre eine Aussage/ein Link zur Liste der kompromittierten Apps!

  • Am 5. November 2015 um 15:23 von Peter Lustig

    A. Es behauptet niemand, dass iOS sicher ist, außer den Quäkern hier.
    B. iOS ist in Punkto Sicherheit Android um Lichtjahre voraus
    C. ist der folgende Satz interessant:
    „…dass die Ursache des Problems offenbar eine Version des vom chinesischen Werbedienstleister adSage veröffentlichten mobiSage SDK ist.“
    Das bedeutet: es sind, wie beim Problem neulich, sehr wahrscheinlich überwiegend chinesische Apps betroffen.

    • Am 5. November 2015 um 20:29 von Judas Ischias

      Also sind nur die Chinesen in China gefährdet, weil woanders keine chinesischen Apps im Apple Store vorkommen, oder wie sonst soll man Deine Aussage verstehen?
      Und Du hast schon recht, hier sind ein Haufen Quäker, oder Quarker, unterwegs, die den Leuten weißmachen wollen wie toll und wie sicher man bei Apple aufgehoben ist. LOL
      Und wenn die Apps im Apple Store zu bekommen sind, dann sollten die doch auch vernünftig von Apple auf „Schadstoffe“ geprüft werden, dabei ist doch völlig egal aus welchem Land und von welchem Entwickler diese kommen.
      Aber ist natürlich leicht die Schuld für schlechte Kontrolle nicht bei Apple zu suchen, sondern bei irgendwelchen anderen Firmen.

      @user v0.8,
      eine Aussage/Link zur Liste der kompromittierten Apps, hätte doch wohl eher in den Artikel gehört, als diese von einem Foristen zu verlangen.

  • Am 5. November 2015 um 15:30 von Peter Lustig

    Ach ja: eben gelesen.

    http://www.heise.de/newsticker/meldung/Adware-Trojaner-rooten-heimlich-Android-Geraete-2878360.html

    Bevor also ein Android Besitzer meint irgendwie lachen zu müssen, sollte er sich mal seine eigenen Apps anschauen. Das klingt dann auch nicht schön.

    Und Samsung Besitzer sollten zittern:
    http://www.heise.de/security/meldung/Samsung-Software-auf-Galaxy-S6-Edge-schafft-Sicherheitsluecken-2869409.html

    Und 14.000 Apps mit Backdoors sollte einen auch nicht gut schlafen lassen:
    http://www.heise.de/security/meldung/Wormhole-Schwachstelle-Backdoor-in-ueber-14-000-Android-Apps-2868252.html

    Nur Meldungen aus der letzte Woche.

    Eigentlich sollte MacSischer nun das Lachen im Halse stecken bleiben, außer, er gehört zu den 3% Win Phone Anwendern. ;)

    • Am 5. November 2015 um 18:04 von MacSischer

      Er gehört zu den 3% WinPhone Besitzer und behauptet nicht das dieses OS sicherer ist als/wie/auch immer xy. Mir ist es nämlich sch….egal. OK. Lobt ihr Applelinge ruhig schön euer iOS und verbreitet eure Hasspredigen gegen andere Firmen. Auch das ist mir eigentlich vollkommen egal. Für mich zählen andere Werte im Leben und ein Phone zählt max 0,1%.

    • Am 5. November 2015 um 18:17 von Vergleiche hinken

      Adware Trojaner funktionieren NUR mit fakeapps aus anderen appstores.
      Samsungs Sicherheitslücken lassen keinen root und auch keine dauerhaft heimliche Installation aus der ferne zu indem man einen link aufmacht oder sogar nur eine SMS erhält. Und es sind 14.000 chinesische apps. Viel heiße Luft aus einem vor sich gärendem Apfel.

  • Am 6. November 2015 um 13:39 von @PeerH

    Kein Samsung oder MS, da wird hier geschwiegen. Obwohl das eine ganz andere Kategorie darstellt – das Gerät komplett wertlos zu machen, das ist schon harter Tobak.
    Da hilft nur eines: keine original Apple App Stores und hoffen, dass Apple irgenwann in Zukunft seinen Job richtig macht.
    Womit dann das vielgelobte ‚Alleinstellungsmerkmal‘ Alternative Installationsquellen obsolete wäre.
    (Fast O-Ton von PeerH)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *