Hacking Team schleuste gefälschte Apps auf iOS-Geräte

Mit Doppelgänger-Apps spionierte der Spyware-Hersteller iPhone-Nutzer aus. Laut FireEye wurden Masque-Attack-Apps erstmals "in freier Wildbahn" gesichtet und erlaubten auch Spähangriffe auf Geräte ohne Jailbreak. Für die Angriffe eingesetzt wurden vor allem Apps wie Facebook und Twitter sowie beliebte Messenger wie WhatsApp.

Der italienische Spyware-Hersteller Hacking Team hat gefälschte Apps entwickelt, um Nutzer von iPhones und iPads auszuspionieren. Wie die Sicherheitsfirma FireEye berichtet, wurde dabei eine im letzten Jahr entdeckte und eigentlich behobene Schwachstelle ausgenutzt. Demnach wurden Masque-Attack-Apps erstmals „in freier Wildbahn“ gesichtet und erlaubten auch erfolgreiche Spähangriffe auf Geräte, die nicht durch einen Jailbreak entsperrt waren.

Informationen zu den Methoden waren aus den 400 GByte veröffentlichten Daten zu entnehmen, die Hacking Team abhanden kamen, als es selbst Opfer eines Einbruchs in sein Computersystem wurde. Durch Reverse-Engineering konnten Doppelgänger-Apps geschaffen werden, die von den Originalen nicht zu unterscheiden waren. Sie kamen jedoch mit zusätzlichen Funktionen, um sensible Daten auf den Mobilgeräten auszuspähen und sie an einen entfernten Server zu übermitteln.

Eine gefälschte Facebook-App holt Berechtigungen ein (Bild: FireEye).Eine gefälschte Facebook-App holt Zugriffsrechte ein (Bild: FireEye).

Gefälscht wurden vor allem beliebte Messenger und Social-Network-Apps. Dazu zählten Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram und VK. Da die Bundle-Identifier identisch sind mit denen der Originale in Apples App Store, können sie die echten Apps auf Geräten mit iOS-Version bis 8.1.3 unmittelbar ersetzen.

Laut Fire Eye kommt aber hinzu, dass die Bundle-Identifier durch die entfernten Angreifer veränderbar sind. Obwohl der Masque-Attack-Bug eigentlich gefixt wurde, soll es daher selbst bei Geräten mit aktuelleren Versionen des Mobilbetriebssystems als iOS 8.1.3 möglich sein, durch einen anderen und einmaligen Bundle-Identifier die Installation einer bösartigen App zu ermöglichen. Den Sicherheitsforschern zufolge können die schädlichen Doppelgänger-Apps vertraute Daten an die Angreifer senden, darunter Sprachmitschnitte von Skype, Textnachrichten von WhatsApp und Facebook Messenger, Browser-Verlauf, Anrufe, SMS-Inhalte, GPS-Daten und Fotos.

Die Masque-Attack-Schwachstelle machte es prinzipiell möglich, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer musste einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Ist eine gefälschte App einmal installiert, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann sie nicht nur deren Funktionen übernehmen, sondern auch auf die von ihr gespeicherten Daten zugreifen.

In den Hacking-Team-Dokumenten waren außerdem weitere Methoden zu finden, um persönliche Informationen aus Apps zu holen. Eine getarnte Anwendung könnte etwa als „Newsstand-ipa“ installiert und durch transparente Icons im Menü vor Entdeckung geschützt werden. Holt sie Zugriffsrechte ein, kann sie sensible Daten weitergeben – und dank einer Tastatur-Erweiterung zudem alle Eingaben des Nutzers.

„Das Sicherheitsrisiko bei Smartphones und Tablets wird nach wie vor unterschätzt“, mahnte FireEye-Manager Frank Kölmel. „Für Nutzer sind professionell durchgeführte, gezielte Cyberangriffe nur schwer zu bemerken, und so geben sie ungeahnt unzählige Informationen preis, ohne sich dessen bewusst zu sein.“

„Dank der von Hacking Team durchgesickerten Angriffswerkzeuge haben wir jetzt erlebt, wie fortgeschrittene und gezielte Attacken durchgeführt werden“, schreibt in einem Blogeintrag Zhaofeng Chen, einer der Sicherheitsforscher von FireEye. „Wir empfehlen allen iOS-Nutzern, ihre Geräte immer auf die neuste iOS-Version zu aktualisieren und genau darauf zu achten, woher sie ihre Apps beziehen.“

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Themenseiten: Apple, Apps, FireEye, Mobile, Secure-IT, Sicherheit, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Hacking Team schleuste gefälschte Apps auf iOS-Geräte

Kommentar hinzufügen
  • Am 7. August 2015 um 2:29 von Frank

    Komisch: „Ein Angreifer musste einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist.“

    Ohne Jailbreak ist das der Apple App Store – also müsste das nur jailbreaked iOS Geräte betreffen. Daher ist auch der Rat zum Ende nur bei jailbreaked Geräten sinnvoll, weil nur diese von verschiedenen App Stores installieren können.

    Wie passt das zum ersten Absatz, dass auch iPhones phne Jailbreak infiziert werden können? Etwas verwirrend.

  • Am 7. August 2015 um 12:13 von Bernd Kling

    FireEye erläutert das in diesem Zusammenhang nicht näher. Der Masque-Attack-Bug erlaubte die Ausnutzung eines als Enterprise Provisioning bezeichneten Verfahrens, das es Unternehmen erlaubt, eigene Apps am App Store vorbei direkt auf iOS-Geräten zu installieren.

    • Am 9. August 2015 um 12:07 von Frank

      Ah, ok. Diese Installation am Apple Store vorbei wird einem aber gleich mehrfach als Warnung angezeigt. Prinzipiell möglich, aber eher unwahrscheinlich, zumal solche Sätze wie ’soll sein‘ bezüglich neuere Versionen als 8.1.3 eben etwas verdächtig sind. Wäre dem so, hätten die Entdecker des Bugs das sicher versucht. Es ‚könnte‘ gehen, aber möglicherweise tut es das dann doch nicht.

  • Am 7. August 2015 um 18:00 von hicks

    mac-harry, zählst du die lücken mit? ist deine hand jetzt voll oder wieviele finger hast du noch frei? :D

  • Am 8. August 2015 um 1:06 von Judas Ischias

    Wer kann denn mit Gewissheit behaupten, dass nur das Hacking Team sich auf das iPhone eingeschlichen hat?
    Die Androiden sind ja mittlerweile ausgelutscht und da Apple immer als soooo sicher hingestellt wird, dass man noch nicht mal Software gegen Viren braucht, muss das doch ein besonderer Anreiz sein sich mal an Apple zu versuchen. ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *