Masque-Angriff: Ihre iPhone-App könnte tatsächlich eine geklonte App sein, die Malware verbirgt

Table Of Contents

• Masque-Angriff: Ihre iPhone-Apps könnten tatsächlich Malware sein
• Wie funktioniert Masque?
• Alle Apple iOS-Geräte betroffen
• Vorsichtsmaßnahmen gegen den Masque-Angriff

Masque-Angriff: Ihre iPhone-Apps könnten tatsächlich Malware sein

Forscher von FireEye haben einen neuen Angriff identifiziert, der von Angreifern verwendet werden kann, um eine echte App durch eine andere, mit Malware versehene, zu ersetzen. Die FireEye-Forscher haben diesen neuen Angriff als ‚Masque-Angriff‘ bezeichnet.

Im Juli entdeckte das mobile Sicherheitsteam von FireEye, dass eine iOS-App, die über Unternehmens- oder Ad-hoc-Bereitstellung installiert wurde, eine andere echte App ersetzen konnte, die über den App Store installiert wurde, wenn beide Anwendungen dieselbe Bundle-ID verwendeten. Die Schwachstelle besteht, weil iOS keine übereinstimmenden Zertifikate für Apps mit derselben Bundle-ID durchsetzt, so das Unternehmen.

In einem Beispiel, wie ein Angriff funktionieren würde, sendete FireEye einen Link an einen Testbenutzer, der eingeladen wurde, ein neues Flappy Bird-Update herunterzuladen. Als die Person auf den Link klickte, lud sie unwissentlich ein gehacktes Update der legitimen Gmail-App herunter.
Die gehackte Gmail-App könnte identisch mit dem Original aussehen, kann jedoch eine Kopie der vertraulichen E-Mails des Benutzers ohne dessen Wissen an eine dritte Partei senden.

FireEye sagt, dass dieselbe Technik verwendet werden könnte, um Menschen dazu zu bringen, bösartige Versionen von Banking-Apps hochzuladen, die finanzielle Details, einschließlich Passwörter, an den Hacker weiterleiten.

Wie funktioniert Masque?

Sobald das Opfer dazu verleitet wird, die bösartige App zu installieren, erklärten die FireEye-Forscher, wird die illegitime Anwendung die echte ersetzen. FireEye sagt, dass nur vorinstallierte Apps wie Mobile Safari von diesem Problem nicht betroffen sind. Laut FireEye kann der Angreifer dieses Problem sowohl drahtlos als auch über USB ausnutzen.

„Nachdem wir uns WireLurker angesehen haben, haben wir festgestellt, dass es begann, eine eingeschränkte Form von Masque-Angriffen zu nutzen, um iOS-Geräte über USB anzugreifen“, bloggte das FireEye-Forschungsteam. „Masque-Angriffe können viel größere Bedrohungen darstellen als WireLurker. Masque-Angriffe können authentische Apps, wie Banking- und E-Mail-Apps, mit Malware des Angreifers über das Internet ersetzen. Das bedeutet, dass der Angreifer die Bankdaten des Benutzers stehlen kann, indem er eine authentische Banking-App durch eine Malware ersetzt, die eine identische Benutzeroberfläche hat. Überraschenderweise kann die Malware sogar auf die lokalen Daten der ursprünglichen App zugreifen, die nicht entfernt wurden, als die ursprüngliche App ersetzt wurde. Diese Daten können zwischengespeicherte E-Mails oder sogar Anmeldetoken enthalten, die die Malware verwenden kann, um sich direkt im Benutzerkonto anzumelden.“

Alle Apple iOS-Geräte betroffen

Die Schwachstelle wurde von FireEye auf iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 Beta sowohl auf jailbroken als auch auf nicht jailbroken Geräten verifiziert. FireEye sagte, sie hätten Apple am 26. Juli 2014 informiert, aber Apple hatte nicht sofort geantwortet. FireEye sagte, dass sie gesehen hätten, dass Masque in der Wildnis ausgenutzt wurde.

„Da alle bestehenden Standard-Schutzmaßnahmen oder Schnittstellen von Apple einen solchen Angriff nicht verhindern können, fordern wir Apple auf, leistungsfähigere Schnittstellen für professionelle Sicherheitsanbieter bereitzustellen, um Unternehmensbenutzer vor diesen und anderen fortgeschrittenen Angriffen zu schützen.“

Vorsichtsmaßnahmen gegen den Masque-Angriff

Um die Bedrohung zu vermeiden, sagt FireEye, dass es drei Regeln gibt, die jeder iPhone- und iPad-Benutzer befolgen sollte:

2. Installieren Sie keine Apps aus Drittquellen außer dem offiziellen App Store von Apple oder der eigenen Organisation des Benutzers.

3. Klicken Sie nicht auf „Installieren“ in einem Pop-up von einer Drittanbieter-Webseite.

4. Wenn beim Öffnen einer App iOS eine Warnung mit „Untrusted App Developer“ anzeigt, klicken Sie auf „Nicht vertrauen“ und deinstallieren Sie die App sofort.

Während das gesamte Internet verrückt nach dem Masque-Angriff ist, hat Apple bisher weder die Schwachstelle akzeptiert noch bestritten.