Trend Micro: Masque-Attack-Bug erlaubt Diebstahl unverschlüsselter App-Daten

Der Masque-Attack-Bug, der iOS 7 und 8 betrifft, erlaubt offenbar auch den Diebstahl von Daten beliebiger auf einem iOS-Gerät installierter Apps. Trend Micro hat nach eigenen Angaben eine neue Möglichkeit entdeckt, wie sich die Schwachstelle ausnutzen lässt, um unverschlüsselte Daten anderer legitimer Anwendungen auszuspähen.

Tests mit mehreren Apps hätten gezeigt, dass einige beliebte iOS-Apps ihre Datenbanken nicht verschlüsseln, schreibt Trend Micro in seinem Blog. Das gilt unter anderem für Messaging- und Kommunikationsanwendungen, die in der Regel persönliche Informationen wie Namen und Adressen speichern.

„Bei unserer Analyse haben wir nur Dateibrowser verwendet, um auf die Dateien zuzugreifen“, heißt es weiter in dem Blogeintrag. Einem Screenshot zufolge ist auch WhatsApp von dem Problem betroffen. Unklar ist allerdings, ob die kürzlich von WhatsApp angekündigte Ende-zu-Ende-Verschlüsselung diese Hintertüre schließt und auch die Datenbank der App unter iOS vor unbefugten Zugriffen schützt.

Darüber hinaus hat Trend Micro festgestellt, dass ein Fehler wie der Masque-Attack-Bug unter Android keinen Datendiebstahl in diesem Umfang ermöglichen würde. „Was unsere Entdeckung noch interessanter macht, ist, dass das nicht über die Android-Gegenstücke der Apps gesagt werden kann. Wir haben ermittelt, dass die Android-Versionen dieser Apps verschlüsselt sind. Ein Angreifer müsste sie zuerst entschlüsseln, um auf die Daten zugreifen zu können“, ergänzte Brooks Hong, Mobile Threat Response Engineer bei Trend Micro.

Trend Micro vermutet, dass die Herausgeber der untersuchten Apps unter iOS auf die zusätzliche Verschlüsselung ihrer Datenbanken verzichtet haben, weil der größte Teil der mobilen Schadprogramme auf die Android-Plattform ausgerichtet ist. „Weil es relativ wenige iOS-Bedrohungen gibt, haben die Entwickler vielleicht keine Notwendigkeit für eine Verschlüsselung unter iOS gesehen“, so Hong weiter.

Der Masque-Attack-Bug erlaubt es Hackern unter Umständen, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer muss einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Eine gefälschte App, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann nicht nur deren Funktionen übernehmen, sondern auch auf alle von ihr gespeicherten Daten zugreifen, darunter E-Mails oder auch Log-in-Tokens. Letzteres erlaubt es Hackern, sich direkt bei einem Konto eines Opfers anzumelden.

Der Fehler steckt in einem von Apple als Enterprise Provisioning bezeichneten Verfahren, das es Unternehmen erlaubt, eigene Apps am App Store vorbei direkt auf iOS-Geräten zu installieren. Ein Problem ist laut dem Sicherheitsspezialisten Jonathan Zdziarski, dass Apple einer App bisher nicht ein bestimmtes Zertifikat zuordnet. Das bedeute, dass ein Hacker die Signatur eines offiziellen aus dem App Store stammenden Programms austauschen und es mit einem eigenen Zertifikat versehen kann.

Apple selbst hält die Gefahr, die von Masque Attack ausgeht, für gering. iOS verfüge über integrierte Schutzfunktionen, die schädliche Downloads verhinderten. Tatsächlich sollten zumindest die Nutzer sicher sein, die Anwendungen ausschließlich über Apples App Store beziehen, da das Unternehmen alle Apps vor der Veröffentlichung überprüft.

Laut Trend Micro ist auch die Datenbank von WhatsApp unter iOS nicht verschlüsselt (Screenshot: Trend Micro).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

BSI-Studie: Wie KI die Bedrohungslandschaft verändert

Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.

15 Stunden ago

KI-Wandel: Welche Berufe sich am stärksten verändern

Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…

16 Stunden ago

Wie ein Unternehmen, das Sie noch nicht kennen, eine Revolution in der Cloud-Speicherung anführt

Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…

21 Stunden ago

Dirty Stream: Microsoft entdeckt neuartige Angriffe auf Android-Apps

Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.

1 Tag ago

Apple meldet Umsatz- und Gewinnrückgang im zweiten Fiskalquartal

iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…

1 Tag ago

MadMxShell: Hacker verbreiten neue Backdoor per Malvertising

Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.

2 Tagen ago