Schweizer Forscher warnt vor spionierenden iPhone-Apps

Ein Schweizer Sicherheitsforscher warnt vor Anwendungen für Apples iPhone, die einen Download von Malware und Spyware initiieren könnten. Apples Überprüfung eingehender Software ist ihm zufolge nicht gründlich genug, um solche Fälle zu verhindern.

Nicolas Seriot von der HEIG-VD wies auf der Sicherheitskonferenz Black Hat DC darauf hin, dass einmal heruntergeladene Anwendungen Zugriff auf zahlreiche Informationen haben – Gerät des Anwenders, Ort der Nutzung, Aktivitäten, Interessen und Kontakte. „Es hat sich herausgestellt, dass das gesamte Adressbuch ohne Zustimmung des Nutzers ausgelesen werden kann“, schreibt der Hochschullehrer auch in einem Aufsatz (PDF). Die „Sandkasten“-Technik des iPhone begrenze zwar den Zugriff von Anwendungen auf die Daten anderer Apps, aber Daten im Standard-System seien exponiert.

Als Beleg hat Seriot einen Proof-of-Concept erstellt: Eine Spionageanwendung namens Spyphone, die beispielsweise die letzten 20 Suchanfragen über Safari, die betrachteten Youtube-Videos und Daten des E-Mail-Accounts ausliest. Dazu gehören Benutzername, Adresse, Host und Log-in, außerdem interne Daten des Telefons, die einen Nutzer auch dann identifizieren sollen, wenn er das Gerät wechselt.

Spyphone liest weiterhin den Tastatur-Cache aus – also sämtliche Eingaben einschließlich eventueller Passwörter -, greift auf Fotos (inklusive Geokoordinaten) zu und loggt WLAN-Verbindungen.

Eine solche Anwendung an Apples Sicherheitschecks vorbeizuschmuggeln, sei nicht schwer, so Seriot. Man müsse für das iPhone Developer Program registriert sein und eine ausführbare Datei einreichen, nicht aber den Quelltext. Apple überprüfe hauptsächlich die Benutzerschnittstelle auf Inkonsistenzen. Auf nicht dokumentierte Funktionsaufrufe und Malware achte Apple schon auch, aber bei 10.000 überprüften Anwendungen pro Woche müsse geradezu gelegentlich Spyware durchrutschen.

Seriot gibt zu, dass er Apples Prüfungsvorgang nicht genau kennt. Es sei aber wahrscheinlich, dass man übliche statische und dynamische Analysemethoden verwende, die man mit bestimmten Programmiertricks aushebeln könne.

Als Beleg nennt Seriot Beispiele von Spionageanwendungen, die es in den App Store geschafft haben. Ein Spiel namens „Aurora Feint“ sandte sämtliche Kontaktdaten des Telefonbesitzers an den Server der Programmierer, und Nutzer der App „MogoRoad„, die Verkehrsinformationen zu Schweizer Straßen bot, erhielten Seriot zufolge überraschend Anrufe von Verkaufsmitarbeitern des Herstellers, ohne je ihre Nummer angegeben zu haben. Auch das Spiel „Storm8“ sammelte Telefonnummern, doch diese Praxis wurde auf erste Vorwürfe hin beendet. Und auch Nutzer des Entwicklerwerkzeugs Pinch Media beschwerten sich, es sammle ihre Daten.

Seriot zufolge sollten sich iPhone-Nutzer bei jedem Download bewusst sein, dass es sich um Spionagesoftware handeln könne. Er empfiehlt, regelmäßig den Tastatur-Cache und die Such-History zu löschen. Professionelle Anwender müssten auf den Download unbekannter Anwendungen ganz verzichten.

Apple hat sich des Problems bisher nicht angenommen. „Es scheint sich da eher um einen Designfehler als um eine kleine Sicherheitslücke zu handeln“, sagt Seriot.