Sandjacking: Forscher installiert gefährliche Apps auf iOS-Geräten

Er nutzt dafür eine neue Funktion von Xcode 7. Sie erlaubt eine Zertifizierung von Apps mit einer Apple ID. Solche Apps lassen sich per Sideloading auch auf iPhones und iPads ohne Jailbreak installieren.

Der Sicherheitsexperte Chilik Tamir von Mi3 Security hat auf der Konferenz Black Hat Asia eine Schwachstelle in der Apple-Entwicklungsumgebung Xcode 7 vorgestellt, die es erlaubt, schädliche Apps auf iOS-Geräten zu installieren. Der von ihm als Sandjacking bezeichnete Angriff funktioniert auch auf Geräten, die nicht per Jailbreak freigeschaltet wurden, wie Security Affairs berichtet.

App-Malware (Bild: Shutterstock)Für seinen Angriff nutzte Tamir eine neue Funktion von Xcode 7. Sie erlaubt es Entwicklern, mithilfe ihres Namens und ihrer Apple ID Zertifikate für Apps auszustellen. Diese Apps müssen weder in den App Store hochgeladen werden, noch durchlaufen sie Apples Prüfverfahren. Im Gegenzug sind ihre Funktionen eingeschränkt. Die selbst zertifizierten Anwendungen haben keinen Zugriff auf Apple Pay, Applikations-Domains, iCloud, In-App-Einkäufe, Passbook beziehungsweise Wallet und sie können keine Push-Benachrichtigungen senden.

Dem Bericht zufolge können solche Apps jedoch Nutzerdaten abrufen und auch das Adressbuch und den Kalender lesen. Zudem sei es ihnen möglich, den Standort des Nutzers per GPS zu ermitteln. Damit verfügten sie über viele Funktionen mobiler Malware.

Seinen Angriff demonstrierte Tamir mit einem von ihm entwickelten Proof-of-Concept. Das Su-A-Cyder genannte Tool ist in der Lage, auf einem iOS-Gerät installierte legitime Apps durch schädliche Versionen zu ersetzen, die es selbst erstellt. Ein Angreifer muss sein Opfer lediglich dazu verleiten, sein iPhone oder iPad mit einem Computer zu verbinden.

„Su-A-Cyder kann als ein Rezept beschrieben werden, bei dem eine Zutat Schadcode, eine Zutat eine legitime App und eine Zutat eine Apple ID ist, die zusammengemischt eine neue böse Client-App ergeben, die sich leicht auf einem nicht gejailbreakten Gerät installieren lässt“, erklärte Tamir. „Su-A-Cyder ist keine Schadsoftware und es ist keine Anfälligkeit, es ist ein Angriffsvektor. Es ist eine Zusammenstellung von Open-Source-Technologien (Theos und Fastlane), die Apples selbstgebrautes Zertifizierungsprogramm für Apps nutzt, um zu zeigen, dass eine anonyme Entwicklung böser Apps kein Mythos mehr ist. Und jede legitime Anwendung kann mit einer anonymen Apple ID umgestaltet und per Sideloading auf einem Gerät installiert werden.“

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Sandjacking funktioniere, weil Apple den Wiederherstellungsprozess von Apps nicht kontrolliere. Ein Angreifer erstelle eine Kopie, entferne die legitime App, installiere die gefährliche Version und stelle dann das Backup wieder her. In diesem Szenario werde die schädliche App nicht entfernt und der Hacker erhalte Zugriff auf die Sandbox der App, die er ersetzt habe.

Apple sei der Fehler schon seit Januar bekannt, heißt es weiter in dem Bericht. Es habe bisher aber noch keinen Patch bereitgestellt. Tamir wiederum plane die Veröffentlichung eines weiteren Tools, das das Sandjacking-Verfahren automatisiere – aber erst, nachdem ein Fix erhältlich sei.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Apps, Security, Sicherheit, iOS, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Sandjacking: Forscher installiert gefährliche Apps auf iOS-Geräten

Kommentar hinzufügen
  • Am 30. Mai 2016 um 13:59 von Judas Ischias

    So so, seit Januar bekannt.
    Na ja, wir haben doch erst Ende Mai. Da kann man doch wohl einen Patch, der dann erst frühestens im Juni erscheint, noch als schnell bezeichnen.;)
    Erinnert so ein bisschen an die Jekill and Hyde App.
    Kann das überraschen, was da möglich ist?
    Doch eigentlich nicht, nur Ignoranten haben das bisher immer bestritten.
    Und auch wenn im Moment noch nicht auf Apple Pay und die anderen aufgeführten Funktionen zugegriffen werden kann, wer weiß denn wie schnell sich das ändern kann?

    • Am 30. Mai 2016 um 15:06 von Hi, hi...

      …na ja, da gereicht momentan ein Nachteil des iOS-Systems – nämlich immer nur mit einem einzigen Computer eine vollständige Sync durchführen zu können – zum Vorteil, weil wahrscheinlich kein iOS-Nutzer eine Sync mit einem Fremdcomputer durchführen wird. Dabei gehen nämlich (zumindest temporär) alle Daten auf dem Gerät flöten. :)

      • Am 30. Mai 2016 um 16:08 von Freidenker

        Ist das in dem Artikel etwas unvollständig dargestellt? Auf dem entsprechenden Rechner muss ja wohl das Su-A-Cyder Tool installiert sein? Ein entsprechendes Szenario müsste ja dann erst mal erdacht sein, also eine Möglichkeit gefunden sein, das Tool ohne wissen des Eigentümers auf dem Rechner zu installieren, richtig?
        Da fehlt dann die Überschrift „Lücke in iOS betrifft 1 Milliarde Geräte“ – macht man bei Android ja auch, obwohl auch da meist nur ein Angriffs-Vektor und kein reales Szenario besteht.
        Es zeigt aber eine alte Binsenweisheit „Wer suchet, der findet“. Jetzt wird mehr bei iOS/OSX gesucht, also wird auch mehr gefunden.

      • Am 30. Mai 2016 um 16:48 von PeerH

        Mit Logik kannst Du dem Vorredner nicht kommen. Auch nicht, dass man das mutwillig und bewusst selber raufmogeln müsste. Und eben, dass ‚Apple bekannt‘ ungleich ‚der Welt bekannt‘ bedeutet. Aber das ist für ihn natürlich eine Katastrophe. Zu diesem Thema schwieg er lieber – wie immer:
        http://www.zdnet.de/88270039/android-bug-betrifft-60-prozent-aller-geraete/
        „Den seit Januar verfügbaren Patch für die Lücke haben die Forscher allerdings nur auf 25 Prozent der von ihnen analysierten 500.000 Android-Geräte gefunden.“
        Bedeutet: 75% haben dieses Patch nicht erhalten. Mal wieder. Und seit Jahren unverändert. Die Summe der fehlenden Sicherheitspatches auf Android Geräten dürfte diese löchriger als Schweizer Käse aussehen lassen. Und? JI schweigt. Er ist halt ‚verblendet‘ und versucht sich lieber an Apple zu reiben – obwohl er Null Apple Geräte hat. Eigentlich müsste er Google ans Bein pinkeln, weil die das Update System nicht verbessern.

        • Am 30. Mai 2016 um 17:51 von Freidenker

          Naja, Dein Seitenhieb auf Android wegen der von Dir verlinkten Lücke ist aber auch nicht mehr als das, was Du JI vorwirfst. Die Zahlen müssen auch relativiert werden, denn nur 0,5% aller Geräte haben entsprechenden Schadcode auf dem Gerät die diese Lücke hätten nutzen können. 1 von 200. Das bedeutet, die Zahl der potenziellen Angriffsziele ist nicht 100% der Androiden sondern 0,5%*und davon wiederum müssten auch die Restvariablen stimmen. Das war eben auch „nur“ ein Angriffs-Vektor kein reales Angriffs-Szenario.
          *In Summe ist das natürlich immer noch eine beachtliche Zahl, aber die 75% von Dir sind halt auch nur „Marktschreierei“ ;-)

          • Am 30. Mai 2016 um 18:43 von PeerH

            Womit Du eine Lücke abegearbeitet hättest. Nun bitte Stagefright und WebView? Da wird auch gerne geschwiegen? Ebenso ‚unrealistisch‘ ? Und dann noch die restlichen ‚unbekannteren‘ Sicherheitslücken, die nie gefixed werden. Wohlbemerkt: wir reden nur (!) über Sicherheitslücken des OS Android, aber noch nicht über die spezifischen Lücken der Smartphone Hersteller, die diese in ihren GUIs ebenfalls haben dürften, die aber niemand prüft oder jemals betrachtet. Selbst wenn diese im selben Umfang wie bei iOS wären – es gäbe davon zu viele, und die werden, man kann es erahnen, nie (!) gefixed.

            Gib es auf: Android als Betriebssystem ist mit dieser Updatepolitik ein einzuges Ärgernis und Sicherheitsrisiko. Daran gibt es nichts zu leugnen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *