Hacker können mit diesen 2846 hintertürigen Apps im Apple App Store vollen Zugriff auf Ihr iPhone/iPad erhalten

Forscher entdecken eine Hintertür in 2846 iOS-Apps, die Hackern vollen Zugriff ermöglichen können

FireEye-Forscher haben entdeckt, dass Tausende von Apps, die im Apple App Store aufgeführt sind, eine Hintertür enthalten, die böswilligen Akteuren den Zugriff auf sensible Benutzerdaten und Geräteeigenschaften ermöglichen kann. Die Forschung wurde von einem Team von Sicherheitsforschern von FireEye durchgeführt, zu dem Zhaofeng Chen, Adrian Mettler, Peter Gilbert und Yong Kang gehören, und wurde heute auf ihrer Website veröffentlicht.

Laut den Forschern enthalten Tausende von iOS-Apps, die vom Apple-Sicherheitsteam überprüft und im Apple App Store aufgeführt sind, eine solche Hintertür. Die bösartigen Apps haben potenziell „hintertürige“ Versionen einer in Tausenden von iOS-Apps eingebetteten Werbebibliothek, die ursprünglich im Apple App Store veröffentlicht wurden, so die Forscher.

Die erschreckende Tatsache, die die Forscher entdeckt haben, ist, dass die „potenzielle“ Hintertür von Hackern remote kontrolliert werden könnte, indem JavaScript-Code von einem Remote-Server geladen wird, um die folgenden Aktionen auf einem iOS-Gerät auszuführen:

• Audio und Screenshots erfassen

• Standort des Geräts überwachen und hochladen

• Dateien im Datencontainer der App lesen/löschen/erstellen/modifizieren

• Schlüsselbund der App lesen/schreiben/zurücksetzen (z. B. Speicherung von App-Passwörtern)

• Verschlüsselte Daten an Remote-Server senden

• URL-Schemata öffnen, um andere auf dem Gerät installierte Apps zu identifizieren und zu starten

• „Side-load“ von Nicht-App-Store-Apps, indem der Benutzer aufgefordert wird, auf eine „Installieren“-Schaltfläche zu klicken

Die Forscher fanden heraus, dass die betreffende Werbebibliothek eine Version des mobiSage SDK ist. Sie fanden 17 verschiedene Versionen der potenziell hintertürigen Werbebibliothek: Versionscodes 5.3.3 bis 6.4.4. In der neuesten mobiSage SDK, die von adSage öffentlich veröffentlicht wurde – Version 7.0.5 – sind die potenziellen Hintertüren jedoch nicht vorhanden. Es ist unklar, ob die potenziell hintertürigen Versionen der Werbebibliothek von adSage veröffentlicht wurden oder ob sie von einem böswilligen Dritten erstellt und/oder kompromittiert wurden.

Stand November 4 haben FireEye-Forscher 2.846 iOS-Apps identifiziert, die die potenziell hintertürigen Versionen des mobiSage SDK enthalten. Die Forscher fanden auch mehr als 900 Versuche, einen adSage-Server zu kontaktieren, der in der Lage ist, JavaScript-Code zu liefern, um die Hintertüren zu steuern.

FireEye sagt, dass sie Apple am 21. Oktober 2015 über die vollständige Liste der betroffenen Apps und technische Details informiert haben.

Die Forscher fanden jedoch keine fehlerhaften Apps, die in der Wildnis ausgenutzt wurden, bemerkten jedoch, dass in den falschen Händen böswilliger JavaScript-Code, der die potenziellen Hintertüren auslöst, veröffentlicht werden könnte, um schließlich von betroffenen Apps heruntergeladen und ausgeführt zu werden.