Masque Attack: iOS hat eine Sicherheitslücke, die das Ersetzen von Apps ermöglicht

10. November 2014 Kategorie: Apple, Backup & Security, iOS, geschrieben von: Sascha Ostermaier

Hat iOS ein gravierendes Sicherheitsproblem? Es sieht ganz danach aus. Nachdem letzte Woche WireLurker bekannt wurde, dessen Gefahr allerdings nur durch Installationen von manipulierten, raubkopierten Apps ausging, kommt mit Masque Attack die nächste Bedrohung, die um ein Vielfaches gefährlicher ist. Der Grund hierfür liegt darin, dass Masque Attack in der Lage ist, aus dem offiziellen App Store geladene Apps zu ersetzen. Diese Lücke fand FireEye bereits im Juli und informierte Apple auch darüber.

In einem Video (Dropbox Direktlink) seht Ihr die Funktionsweise sehr gut. In diesem Fall wird die Gmail-App ersetzt. Ist dies geschehen, lädt die bösartige App direkt die Inhalte der App, die auch nach dem Ersetzen des Originals weiterhin vorhanden sind, auf den Server des Angreifers. Dieser kann dann alle Inhalte ohne großen Aufwand auslesen. Auch das mitschneiden von SMS-Kommunikationen ist möglich, wie das Video zeigt.

Die bösartigen Apps benötigen nur den Bundle Identifier, den die Original-App auch hat, im Fall von Gmail ist dies „com.google.Gmail“. Die App muss dann nur noch mit einem Enterprise-Zertifikat signiert werden und kann im Anschluss ganz normal über eine Webseite heruntergeladen werden. Das Gerät, das die App installiert benötigt keinen Jailbreak, nachgewiesen wurde die Lücke unter iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 beta. Apple wurde bereits am 26. Juli über die Lücke informiert. Die Veröffentlichung kommt jetzt, da WireLurker einen Teil von Masque Attack nutzt und es Anzeichen dafür gibt, dass die Lücke bereits ausgenutzt wird. Die Nutzer sollen also davor gewarnt werden.

Die Gefahren, die von dieser Methode ausgehen, sehen wie folgt aus:

– Angreifer können das Login-Interface einer App nachbilden und so die Login-Daten des Nutzers abgreifen. Dies wurde von FireEye mit mehreren E-Mail- und Banking-Apps erfolgreich ausprobiert.

– Daten, die sich im Verzeichnis der Original-App befinden, können von der Fake-App ausgelesen werden. Hier handelt es sich um gecachete Daten, die auch nach Installation der Malware noch vorhanden sind. Diese Daten können an einen Server geschickt werden. Dies wurde in E-Mail-Apps nachgewiesen, wo Inhalte der Mails ausgelesen werden konnten.

– Das MDM Interface (Mobile Device Management) kann die Fake-Apps nicht vom Original unterscheiden, da sie den gleichen Bundle Identifier nutzen. Es gibt aktuell keine MDM Schnittstelle, die Zertifikats-Informationen zu einzelnen Apps anzeigt. Deshalb können die Attacken nur schwer erkannt werden.

– Da Apps, die über ein Enterprise Provisioning Profile installiert werden nicht durch Apples Review-Prozess müssen, können Angreifer auch private iOS-APIs nutzen. Dies ermöglicht die Hintergrundüberwachung und kann auch das iCloud UI nachahmen, um an die Apple Login-Daten zu kommen.

– Angreifer können Masque Attack auch nutzen, um die App Sandbox zu umgehen. Dadurch kann man sich Root-Zugriff verschaffen, wenn man entsprechende Schwachstellen ausnutzt, so wie es Pangu mit dem Jailbreak-Tool macht.

Was aktuell nicht funktioniert: von Apple vorinstallierte Apps zu ersetzen. Das heißt, es können nur Apps ersetzt werden, die aus dem App Store geladen wurden. Apple äußerte sich bisher nicht. Um sich vor einer Masque Attack zu schützen, hilft es, wenn man keine Apps installiert, die sich über ein Popup installieren wollen. Da die Fake-Apps nicht über den App Store kommen, ist man sicher, wenn man ausschließlich von dort Apps installiert.


Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7185 Artikel geschrieben.