Apple spielt Gefahr durch Masque-Attack-Bug herunter

iOS und OS X bieten laut Apple ausreichend Schutz vor der Schwachstelle. Dem Unternehmen ist nach eigenen Angaben bisher auch noch kein Angriff auf seine Nutzer bekannt. Wann Apple einen Patch für die seit Juli bekannte Lücke veröffentlicht, ist aber weiter unklar.

Apple hat auf eine kritische Sicherheitslücke in iOS reagiert, die es Hackern unter Umständen ermöglicht, legitime Apps durch gefälschte Software zu ersetzen. In einer am Donnerstag veröffentlichten Stellungnahme des iPhone-Herstellers heißt es, sein Mobilbetriebssystem verfüge über integrierte Schutzfunktionen, die schädliche Downloads – auch über den als Masque Attack bezeichneten Bug – verhinderten.

iOS-Warnmeldung zu Masque Attack (Bild: FireEye).

Anfang der Woche hatte FireEye auf die Schwachstelle hingewiesen, die in iOS 7.1.1, 7.1.2, 8.0, 8.1 und auch 8.1.1 Beta steckt. Ein Angreifer muss demnach einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Eine gefälschte App, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann nicht nur deren Funktionen übernehmen, sondern auch auf alle von ihr gespeicherten Daten zugreifen, darunter E-Mails oder auch Log-in-Tokens. Letzteres erlaubt es Hackern, sich direkt bei einem Konto eines Opfers anzumelden.

Die Anfälligkeit wird bisher nur in China durch die Malware WireLurker ausgenutzt. Wie Palo Alto Networks in der vergangenen Woche berichtete, ist dort eine Schadsoftware im Umlauf, die Macs befällt und von dort aus auf per USB verbundene Smartphones übergreift. Laut FireEye ist der Fehler Apple schon seit Ende Juli bekannt.

HIGHLIGHT

Praxis: Mac-Malware WireLurker erkennen und beseitigen

Die Malware verbreitet sich über einen chinesischen App Store. Sie kann unter betimmten Umständen über den Mac iOS-Geräte befallen. Offenbar dient WireLurker ausschließlich zur Identifzierung des Nutzers. Und das hat seinen Grund.

Apple betont in seiner Stellungnahme, es wisse bisher nichts über betroffene Nutzer. „Wir haben OS X und iOS mit eingebauten Sicherheitsmaßnahmen ausgestattet, die Kunden schützen und warnen, bevor sie potenziell gefährliche Software installieren“, teilte ein Apple-Sprecher mit. „Wir empfehlen unseren Kunden, nur Software aus vertrauenswürdigen Quellen wie dem App Store herunterzuladen und auf alle Warnmeldungen beim Download zu achten. Enterprise-Nutzer, die spezielle Apps verwenden, sollten nur Apps von der sicheren Seite ihres Unternehmens installieren.“

Da alle iOS-Versionen ab 7.1.1 betroffen sind, sind rund 95 Prozent aller mobilen Geräte von Apple anfällig für Masque Attack. FireEye weist außerdem darauf hin, dass der Bug auch auf iPhones oder iPads ausgenutzt werden kann, auf denen kein Jailbreak installiert wurde. Viele andere Schadprogramme können nur iOS-Geräte befallen, wenn diese zuvor freigeschaltet wurden.

Apple arbeitet nach eigenen Angaben an einem Fix für die Masque-Attack-Lücke. Ob ein Patch schon in iOS 8.1.1 enthalten ist, das derzeit als Betaversion vorliegt, teilte das Unternehmen nicht mit.

Auch Sicherheitsspezialist Jonathan Zdziarski rät dem iPhone-Hersteller dringend zu mehr als nur einer Zertifikat-Sperre, mit der man die aktuelle Bedrohung durch WireLurker abwehren kann. Apple müsse zum einen die Anwender besser aufklären und zum anderen die Unternehmenszertifikate, die die meisten Anwender nie benötigen, standardmäßig deaktivieren. Außerdem sollte ein Programm den Anwender um Erlaubnis fragen, wenn es die Verbindung zwischen Mac und iOS-Gerät nutzen möchte, ähnlich der Bestätigung beim Zugriff auf Kontakte und Standortfreigabe. Eine Verschlüsselung der Verbindung zwischen Mac und iPhone verhindert außerdem, dass selbst Programme mit Root-Zugriff, nicht ohne Erlaubnis des Nutzers auf Daten des iOS-Gerätes zugreifen können.

Für ein größeres Problem hält der Sicherheitsspezialist, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann. Das müsse der iPhone Hersteller schnellstens ändern, andernfalls drohen durch die von WireLurker aufgezeigte Schwäche in der Sicherheitsarchitektur ernstere Konsequenzen. Während Zdiarski die Schadsoftware selbst als “amateurhaft” bezeichnet, die relativ leicht entdeckt werden kann, seien Geheimdienste wie NSA und GCHQ oder andere begabte Hacker in der Lage, die Systemschwäche effektiver auszunutzen.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Mac OS X, Malware, Secure-IT, iOS, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

12 Kommentare zu Apple spielt Gefahr durch Masque-Attack-Bug herunter

Kommentar hinzufügen
  • Am 21. November 2014 um 23:05 von Iphoner

    Woher weiß man eigentlich in so ein Virus trojaner malware auf dem iPhone ist?

  • Am 14. November 2014 um 21:09 von Ok

    Der Ablauf:
    a. ich kriege eine Mail von einer mir unbekannten Persion, z.B. Hanni.Nanni@betrug.com, die einen Link enthält. Fehler 1 – ich lösche die Mail nicht.
    b. ich klicke auf einen darin enthaltenen Link. Fehler 2. – ich klicke auf den Link.
    c. Es geht eine Seite auf, und die versucht mir mittels eines gefälschten Zertifikats eine unbekannte App zu installieren. Fehler 3 – ich werde nicht misstrauisch.
    d. Ich bekomme eine explizite Warnung, dass die Installation von Apps aus nicht vertrauenswürdigen Quellen gefährlich ist, und man die Installation abbrechen sollte. Fehler 4 – ich installiere die App trotzdem.

    Sorry, wer so dumm ist, dem kann man wirklich nicht mehr helfen. ;-)

    Auf Briefe bezogen würde das bedeuten, dass man von einem Unbekannten (!) einen Brief erhält, in dem dann steht, man würde reich erben (!), ganz bestimmt, weil man von einem unbekannten Onkel (!) in Nigeria geerbt hätte, wenn man nur – na huch – 1.000€ Erbschaftsgebühr vorab (!!) per Western Union (!!!) nach Nigeria überweist.

    Wenn darauf jemand hereinfällt, was soll man dazu sagen? Schlau ist es nicht. Spätestens beim dritten Ausrufezeichen sollten alle Alarm Glocken läuten. Wer das nicht ignoriert, der muss dafür auch selber die Verantwortung tragen.

    Ganz sicher ist aber nicht die Post daran schuld, wenn er tatsächlich die 1.000€ überweist. ;-)

    @Redaktion: sorry, die Post spielt auch nichts herunter, wenn sie vor Nigeria Betrugs schreiben warnt. ;-]

    • Am 15. November 2014 um 12:39 von Jaja

      ….und wieder schön verharmlost. Über einen anderen Weg kommt Malware auch nicht auf n Android-Handy…sind nur n paar Klicks weniger. Aber da ist es natürlich die größte Scheiße und Google ist Schuld. Man man man…wie ne Wetterfahne im Wind.

      • Am 16. November 2014 um 0:10 von Yup

        Ein paar Klicks weniger UND das System ist eben durch seine Offenheit anfälliger. Bei Android ist das System eben darauf angelegt, dass es offener ist – mit entsprechenden Nachteilen für die Sicherheit. Da hilft auch kein drum herumreden und Schwarz-Weiss Denken.

        Offenheit bietet Vorteile, verlangt aber dem Anwender mehr Wissen und Verständnis für das System ab. Das ist etwas, was Nerds nie verstehen werden – dass normale Anwender sich nicht 24/7 mit PC Geraffel und Smartphones herumplagen wollen. ;-)

        • Am 16. November 2014 um 14:39 von Judas Ischias

          Oh, oh. Das ist ja echt erschreckend, was Du hier für ein Zeug schreibst. ;(
          Wenn man EINMAL gefragt wird, ob man irgendwelches Zeug aus fremden Quellen installieren will, muss das doch reichen!
          Wenn man ZWEIMAL gefragt wird und lädt es dann trotzdem runter, dann ist derjenige wirklich selbst schuld, wenn er sich Müll auf sein Gerät lädt.
          Wozu muss man dann noch öfter gefragt werden?
          Obwohl, ich es irgendwie schon verstehen kann, dass man noch öfter gefragt wird.
          Das ist dann für solche Leute wie dich, die es schwer haben, solche Fragen spätestens bei der 2. Warnung zu verstehen. ;)

  • Am 14. November 2014 um 14:43 von Noddy

    Ohne Manipulation des Betriebssystems kann man bei Apple nicht in fremden Stores einkaufen. Die Leute sind doch selber Schuld, wenn sie die Hintertür öffnen. Da dieses nicht von Apple begünstigt wird, trifft sie auch keine Schuld.

  • Am 14. November 2014 um 14:43 von black

    Die AppleChefpappen können doch n Downgrade auf vor 7.1.1 erlauben; dann ist doch wieder alle supi…scheinbar. Aber oh Gott….´n Downgrade. Tod dem User der so etwas fordert.

    Achso, Apple Retail Germany GmbH: Ihr Antwortschreiben wegen der Beschwerde über die auffällig oft defekten Hauptplatinen ( ich weiss, das Problem kennt ihr nicht, ist in diesem Fall erst die 4. Platine in nicht einmal 36 Monaten) ist immer noch nicht eingetroffen; also ich meine das ist jetzt fast 4 Wochen her das ich mir die Mühe mit dem Schriftsatz machte und diesen per Einschreiben nach Frankfurt /M. schickte.

    Aber vielleicht sollte ich die Post bei Ihnen mit dem Gerichtsvollzieher zustellen lassen; dann muss der GF wenigstens selbst unterzeichnen und in Empfang nehmen und…ist endlich mal informiert.

  • Am 14. November 2014 um 14:32 von US-CERT

    Hier ist es etwas ‚objektiver‘ beschrieben – ein interessanter Kontrast zum Artikel hier:

    http://m.heise.de/mac-and-i/meldung/Gefaelschte-iOS-Apps-Apple-sind-keine-Angriffe-bekannt-2457188.html

    Demzufolge würde das US-CERT ebenfalls das Risiko herunterspielen? ;-)

    • Am 14. November 2014 um 14:47 von black

      also bei den Ami-Firmen und deren Einschätzungen kommt man doch heutzutage sofort auf den Punkt: beabsichtigter Systemfehler zur Terrorabwehr zu Gunsten der Überwacher?

      Eigentlich bißchen primitiv und ganz schön traurig wenn man so schon automatisch denkt. Aber, glaube nichts was die Ami´s sagen. Einmal gelogen; immer gelogen.

  • Am 14. November 2014 um 13:19 von Judas Ischias

    Ha ha ha. Fast 95 Prozent, das muss man sich erstmal auf der Zunge zergehen lassen. ;)
    Da ist ja genau das jetzt möglich wie sonst bei Android auch.;) Wo ist denn jetzt das Geschrei und mit dem Finger auf Apple zeigen?
    Jetzt erklärt Mr. Apple-Noname, dass der Nutzer selbst dran schuld ist wenn so ein Dreck auf das Gerät kommt, weil er ja von Apple gewarnt wird.
    Komisch, bei solchen Dingen die Android betreffen, hat nach Meinung dieser speziellen Appler, immer Android bzw. Google schuld. ;)
    Ihr seid schon ein komisches Volk, wie der Wind weht, so wird passend die Fahne gehängt. ;)

  • Am 14. November 2014 um 12:14 von AppleFan

    Das war doch klar das Apple das wieder verniedlichst. Sie lügen, betrügen und beuten Mitarbeiter, Lieferanten und Kunden aus. Und sie Apple-Lobby hier im Forum macht aus allen Problemen der anderen einen Elefant und aus den Problemen von Apple eine Mücke. Bin mal gespannt welche Verharmlosung diese mal uns Mac-Harry präsentiert. Apple ist einfach unfähig. Das zeigt auch das neues Update von 10.10 wieder. Bei jedem Update sollen die tester besonder die WLAn-Funktionalität prüfen und beobachten. Das lese ich schon seit x-Versionen/Updates und es funktioniert immer noch nicht. Unfähigkeit hat einen Namen: Apple

  • Am 14. November 2014 um 11:57 von Leute

    Leute, Leute: wenn ich also von Apple eine Warnung und einen Hinweis kriege, dass mit dem angestrebten Download etwas Faul ist, und ich das dennoch akzeptiere, dann ’spielt Apple‘ die Gefahr herunter?

    Wenn die Polizei mich davor warnt, Kriminellen kurzzeitig meine Brieftasche auszuhändigen, und hinterher 50€ weg sind – dann hat die Polizei Schuld?

    Etwas selbständiges mitdenken kann wirklich nicht schaden. Oder?

    Wäre dem so, dann würde Google per Definition dauerschuldig sein, weil da jede App vorher mögliche Warnungen und Hinweise über die eingeforderten Rechte gibt – mit Null Empfehlungen, ob und wann das wirklich nötig ist.

    Hier warnt Apple per Meldung vor der Installation, und für den ZdNet Redakteur kommt das einem herunterspielen nahe? Irgendwie nicht gerade schlüssig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *