Masque Attack: iOS hat eine Sicherheitslücke, die das Ersetzen von Apps ermöglicht
Hat iOS ein gravierendes Sicherheitsproblem? Es sieht ganz danach aus. Nachdem letzte Woche WireLurker bekannt wurde, dessen Gefahr allerdings nur durch Installationen von manipulierten, raubkopierten Apps ausging, kommt mit Masque Attack die nächste Bedrohung, die um ein Vielfaches gefährlicher ist. Der Grund hierfür liegt darin, dass Masque Attack in der Lage ist, aus dem offiziellen App Store geladene Apps zu ersetzen. Diese Lücke fand FireEye bereits im Juli und informierte Apple auch darüber.
In einem Video (Dropbox Direktlink) seht Ihr die Funktionsweise sehr gut. In diesem Fall wird die Gmail-App ersetzt. Ist dies geschehen, lädt die bösartige App direkt die Inhalte der App, die auch nach dem Ersetzen des Originals weiterhin vorhanden sind, auf den Server des Angreifers. Dieser kann dann alle Inhalte ohne großen Aufwand auslesen. Auch das mitschneiden von SMS-Kommunikationen ist möglich, wie das Video zeigt.
Die bösartigen Apps benötigen nur den Bundle Identifier, den die Original-App auch hat, im Fall von Gmail ist dies „com.google.Gmail“. Die App muss dann nur noch mit einem Enterprise-Zertifikat signiert werden und kann im Anschluss ganz normal über eine Webseite heruntergeladen werden. Das Gerät, das die App installiert benötigt keinen Jailbreak, nachgewiesen wurde die Lücke unter iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 beta. Apple wurde bereits am 26. Juli über die Lücke informiert. Die Veröffentlichung kommt jetzt, da WireLurker einen Teil von Masque Attack nutzt und es Anzeichen dafür gibt, dass die Lücke bereits ausgenutzt wird. Die Nutzer sollen also davor gewarnt werden.
Die Gefahren, die von dieser Methode ausgehen, sehen wie folgt aus:
– Angreifer können das Login-Interface einer App nachbilden und so die Login-Daten des Nutzers abgreifen. Dies wurde von FireEye mit mehreren E-Mail- und Banking-Apps erfolgreich ausprobiert.
– Daten, die sich im Verzeichnis der Original-App befinden, können von der Fake-App ausgelesen werden. Hier handelt es sich um gecachete Daten, die auch nach Installation der Malware noch vorhanden sind. Diese Daten können an einen Server geschickt werden. Dies wurde in E-Mail-Apps nachgewiesen, wo Inhalte der Mails ausgelesen werden konnten.
– Das MDM Interface (Mobile Device Management) kann die Fake-Apps nicht vom Original unterscheiden, da sie den gleichen Bundle Identifier nutzen. Es gibt aktuell keine MDM Schnittstelle, die Zertifikats-Informationen zu einzelnen Apps anzeigt. Deshalb können die Attacken nur schwer erkannt werden.
– Da Apps, die über ein Enterprise Provisioning Profile installiert werden nicht durch Apples Review-Prozess müssen, können Angreifer auch private iOS-APIs nutzen. Dies ermöglicht die Hintergrundüberwachung und kann auch das iCloud UI nachahmen, um an die Apple Login-Daten zu kommen.
– Angreifer können Masque Attack auch nutzen, um die App Sandbox zu umgehen. Dadurch kann man sich Root-Zugriff verschaffen, wenn man entsprechende Schwachstellen ausnutzt, so wie es Pangu mit dem Jailbreak-Tool macht.
Was aktuell nicht funktioniert: von Apple vorinstallierte Apps zu ersetzen. Das heißt, es können nur Apps ersetzt werden, die aus dem App Store geladen wurden. Apple äußerte sich bisher nicht. Um sich vor einer Masque Attack zu schützen, hilft es, wenn man keine Apps installiert, die sich über ein Popup installieren wollen. Da die Fake-Apps nicht über den App Store kommen, ist man sicher, wenn man ausschließlich von dort Apps installiert.
Wird geladen ...
Sorry, aber das glaube ich nicht. Im Gegensatz zu Windows und Android kann iOS garkeine Sicherheitslücken haben, wie auch? Ist ja Linux! Einfach wieder nur mal pure Propaganda und Applegehate!!!! Ich glaube der Ersteller und Sascha sind Androidfans!!!!!
Ja. Schon länger bekannt. Und deshalb haben sich auch Sicherheitsexperten gewundert, warum WireLurker das nicht so gemacht hat.
Apple kennt die Lücke mindestens seit Juli und iOS 7 – und dreht den Leuten dann diese Katastrophe immer noch bis heute an? Selbst bei iOS 8? Unglaublich. 🙁
@lentille
Ich denke nicht, dass das einfach (vollständig) zu patchen ist. Da müsste ein großer Umbau her, was den AppStore und auch die Enterprise-Apps usw betrifft. Das geht nicht eben mal im Vorbeigehen.
@pavel Amok: IOS basiert, wie auch OSX, auf Darwin, was wiederum von BSD abstammt.
Android dagegen ist Linux 😉
Schlussendlich sind es aber beides Verwandte von Onkel Unix 😛
Der Großteil der Benutzer wird niemals eine App außerhalb des App Stores runterladen und installieren (wenn wir nur non-Jailbreak Benutzer betrachten).
Und die Frage ist ja: Warum sollte ich mir als Nutzer von App XYZ diese noch einmal runterladen (nachdem ich sie bereits gekauft habe)? Es müsste schon irgendwelche Drive-by-Attacken geben, die das dann automatisch machen und die App verdeckt ersetzt.
Allen anderen unterstelle ich mal, dass sie wissen, was sie sich mit Enterprise-Apps ins Haus holen (können).
@Pavel Ist dein Kommentar als Satire gemeint? ICH HOFFE ES SEHR, für dich. Bevor ich zu dem komme Apple hat auf jeden Fall eine riesen Feature Liste was Sicherheit an geht, aber das bedeutet noch lange nicht das diese sauber und von A-Z durchdacht Umgesetzt sind. Erster Fokus Punkt ist das Anwenderhinweis und danach kommt lange nichts. Dazu gehört auch eine „gefühlte“ Sicherheit. Oder anders die Unternehmen die allein an die Apple Sicherheit und ein wenig MDM glauben wurden vom Marketing (Apple, Google…) und Ihren Beratern veräppelt. PS: Zu meinem Skill Level – Ich berate Banken und Konzerne im Bereich Mobile Device Sicherheit.
Naja es ist nicht mehr oder weniger gefährlich, als die andere Variante. Der Nutzer muss es am Ende immer noch via Popup bestätigen und da man Software unter iOS eigentlich nur aus dem AppStore bezieht, dürfte das schon reichlich ungewöhnlich wirken^^
Allerdings, sollte Apple da dennoch einen Riegel vorschieben. Das ist schon eher unschön, auf dem sonst so sicheren System.
Das meinst du doch nicht ernst, oder?
> im Gegensatz zu Android
> Ist ja Linux
nuff said :d
@Alex: Das ist ganz einfach, du nimmst eine sehr beliebte App (Facebook, WhatsApp, usw.) und machst eine Webseite wo du von einer neuen Version sprichst und den Download anbietest. Da wird der allgeimeine DAU schon drauf reinfallen.
Durch die Medien fühlen sie sich sowieso in Sicherheit.
Im Moment könnte man gut mit WhatsApp ohne Lesebestätigung Honeypots aufstellen.
Moment mal… dafür benötigt der Angreifer aber Zugriff auf den privaten Schlüssel der MDM-Umgebung, bei der das iOS-Gerät registriert ist, oder?
Von daher schätze ich das Risiko als eher gering ein.
Der Pavel ist der Brüller!
@Dennis: Das ist wohl genau das Problem, wenn man die APP bereits installiert hat wird nichts geprüft.