Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Schadsoftware XCodeGhost: Die wichtigsten Fakten zum App-Store-Angriff

Apple iPhone: Entwicklersoftware kompromittiert, Apps mit Hintertüren versehen Zur Großansicht
SPIEGEL ONLINE

Apple iPhone: Entwicklersoftware kompromittiert, Apps mit Hintertüren versehen

Zahlreiche Programme aus Apples App-Store sind mit einer Spionagesoftware verseucht, betroffen sind vor allem Apps chinesischer Entwickler. Wie kann man sich schützen? Wer steckt dahinter? Die wichtigsten Antworten.

Was ist passiert?

Unbekannte haben eine Möglichkeit gefunden, mindestens Dutzende, vermutlich aber Hunderte Apps für Apples iOS-Betriebssystem mit Spionage-Schadcode zu infizieren. Die Apps wurden regulär über den App-Store verteilt. Apples Kontrollmaßnahmen haben augenscheinlich versagt.

Welche Apps sind betroffen?

Die bekannteste und vermutlich am weitesten verbreitete unter den bislang entdeckten Apps ist WeChat, eine Chat-App, die vor allem in China und anderen asiatischen Ländern sehr populär ist. Einer Liste zufolge, die das US-Sicherheitsunternehmen Palo Alto Networks veröffentlicht hat, ist aber beispielsweise auch WinZip betroffen. "Forbes" berichtet, auch die App des Mitfahr-Dienstes Didi Kuaidi sei manipuliert worden, einem chinesischen Konkurrenzunternehmen von Uber. Anderen Berichten zufolge sind beispielsweise auch die Fahrkarten-App der chinesischen Eisenbahn, ein beliebter Visitenkartenscanner und eine in China populäre App für Aktienhandel infiziert.

Die Seiten, auf denen Palo Alto Networks über den Vorfall berichtet, waren am Montagvormittag deutscher Zeit nicht zu erreichen.

Eine Kopie der Liste mit den bislang als betroffen bekannten Apps findet sich aber im Forum der Gerüchteseite "Macrumours" . Vermutlich ist die tatsächliche Zahl der infizierten Apps aber noch deutlich höher. Das chinesische Unternehmen Qihoo360 Technology Co gibt Reuters zufolge an, bislang 344 betroffene Apps entdeckt zu haben.

Wie gingen die Angreifer vor?

Das Einfallstor waren manipulierte Versionen einer Software, die Programmierer für die Entwicklung von iOS-Apps benutzen. Diese Entwicklersoftware namens XCode wird eigentlich von Apple selbst vertrieben.

In China dauern XCode-Downloads von den Apple-Servern aber offenbar zuweilen sehr lang. Die manipulierten XCode-Versionen waren auf Cloud-Servern des chinesischen Internetunternehmens Baidu abgelegt und konnten über Suchmaschinen leicht gefunden werden. Augenscheinlich machten viele Entwickler in China von der Möglichkeit Gebrauch, so vermeintlich leichter an aktuelle XCode-Versionen zu kommen. Benutzten sie jedoch die manipulierte Version der Software, bauten die Entwickler damit unwissentlich Spionagecode in ihre Programme ein.

Palo Alto Networks zufolge lagen auf den chinesischen Servern die XCode-Versionen 6.1 bis 6.4 in dieser manipulierten Form vor. Die Spionagesoftware, die damit in Apps eingeschleust wird, haben Entwickler des chinesischen Unternehmens Alibaba XCodeGhost getauft.

Was tut der Schadcode?

Die manipulierten Apps verschicken Palo Alto Networks zufolge mindestens folgende Informationen an ihre Kontrollserver:

  • die aktuelle Zeit
  • den Namen der betroffenen App
  • die sogenannte Bundle ID, eine Kennzahl, mit der Apple Apps identifiziert
  • Gerätename und -typ
  • eingestelltes Land, eingestellte Systemsprache
  • die Gerätekennung, die sogenannte UUID
  • die Art des genutzten Netzes

Doch das ist nicht alles. Offenbar wurde XCodeGhost gezielt benutzt, um an iCloud-Zugangsdaten zu kommen.

"Forbes" zitiert den Sicherheitsforscher Ryan Olson von Palo Alto Networks mit dieser Erklärung: "Nachdem die Schadsoftware den Command- & Control-Server kontaktiert hat, um dort Informationen über das infizierte Gerät hochzuladen, kommt eine verschlüsselte Antwort vom Server zurück. Diese Antwort enthält mehrere mögliche Kommandos. Eines davon ermöglicht es, dem Benutzer eine Push-Nachricht zukommen zu lassen."

Olson erklärte, man habe Belege dafür gefunden, dass diese Benachrichtigungsfunktion benutzt worden sei, um Zugangsdaten zu Apples iCloud-Dienst zu erlangen, mit Hilfe einer Phishing-Attacke, also vermutlich über eine gefälschte Webseite, auf der die Zugangsdaten abgefragt wurden.

Die Antwort des Kontrollservers könne auch eine URL, also eine WWW-Adresse enthalten, die die betroffene App dann öffne, sagte Olson. "Wir wissen noch nicht, wie das genutzt wird, aber es ließe sich ausnutzen, um andere Apps auf dem Telefon auf potenziell schädliche Seiten zu schicken."

Hat ein Angreifer Zugriff auf den iCloud-Account eines iPhone- oder iPad-Nutzers, kann das weitreichende Folgen haben: Je nach Einstellung werden dort Back-ups des Telefonspeichers und auch mit dem Handy gemachte Fotos abgespeichert. Der Fall im Internet veröffentlichter Nacktfotos diverser US-Stars, der 2014 für Schlagzeilen sorgte, ging beispielsweise auf geknackte iCloud-Konten zurück.

Wie kann man sich schützen?

Nach derzeitigem Stand der Erkenntnisse sind nicht allzu viele Apps betroffen, die auch im Westen verbreitet sind. Unklar ist auch, ob nur Programme betroffen sind, die sich über den App-Store für die Region China herunterladen ließen. Wer eine der bislang als infiziert benannten Apps auf seinem Smartphone oder Tablet hat, sollte sie jedoch in jedem Fall deinstallieren. Wer auf Nummer sicher gehen will, sollte auch seine Zugangsdaten für iCloud und Apples iTunes Store ändern.

Apple selbst hat bislang nur erklärt, die betroffenen Apps würden aus dem App-Store entfernt. Das Unternehmen teilte weder mit, wie viele Apps genau betroffen sind, noch, wie Nutzer feststellen können, ob ihr Gerät betroffen ist.

Wer könnte verantwortlich sein?

Palo Alto Networks und die übrigen Sicherheitsforscher, die sich derzeit mit dem Fall beschäftigen, halten sich zur Schuldfrage bedeckt. Es könnte sich sowohl um Kriminelle auf der Suche nach geldwerten Zugängen zu Mobiltelefonen handeln, als auch um einen Geheimdienst.

Dass beispielsweise US-Geheimdienste schon vor Jahren aktiv an der Unterwanderung von XCode arbeiteten, ist bereits bekannt. Das Enthüllungsportal "The Intercept" veröffentlichte im März 2015 ein Dokument aus Geheimdienstbeständen mit der Überschrift "Strohpferd: Angriffe auf die Entwicklerkits für Mac OS und iOS". Es handelt sich um die Ankündigung eines Fachvortrags zu den Erfolgen, die eine Geheimdienst-Entwicklergruppe mit der Manipulation der XCode-Version 4.1 erreicht hatte. Das Dokument stammt aus dem Jahr 2012.

Ist dies die erste gravierende Sicherheitslücke im App-Store?

Nein. Erst im Juni 2015 zeigte eine Gruppe von Forschern aus den USA und China, dass sie ebenfalls eine Methode entdeckt hatte, manipulierte Apps in die App-Stores für iOS-Geräte und Macs einzuschleusen. Die Forscher hatten Apple sechs Monate zuvor von der Gefahr in Kenntnis gesetzt, sie schließlich aber veröffentlicht, nachdem Apple die Lücke ihren Angaben zufolge in diesem Zeitraum nicht geschlossen hatte.

cis

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 24 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Angriff auf App store??
Granata 21.09.2015
Also mir scheint vielmehr, dass in China eine manipulierte Raubkopie von xcode ueber fragwuerdige Server vertrieben wurde. Also war es kein (direkter) Angriff auf den App Store, der viel schwerwiegender waere) sondern ein Angriff auf die chinesischen Entwickler (u.a. abgriff von Zugangsdaten). Man kann es noch so oft predigen, Software nur von vertrauenswuerdigen Quellen zu laden, aber Bloedheit, Bequemlichkeit und Geiz sind eben immer staerker als die Vernunft.
2. Realistisch bleibt man,
lupenreinerdemokrat 21.09.2015
wenn man sagt, dass so gut wie jede App auch gleichzeitig eine Spionagesoftware ist. Jedes Smartphone liefert unentwegt persönliche Daten an die Geheimdienste und von daher ist die Aufregung eine gespielte Hektik, die vom Hauptproblem nur ablenkt.
3. In dem Fall
May 21.09.2015
Zitat von GranataAlso mir scheint vielmehr, dass in China eine manipulierte Raubkopie von xcode ueber fragwuerdige Server vertrieben wurde. Also war es kein (direkter) Angriff auf den App Store, der viel schwerwiegender waere) sondern ein Angriff auf die chinesischen Entwickler (u.a. abgriff von Zugangsdaten). Man kann es noch so oft predigen, Software nur von vertrauenswuerdigen Quellen zu laden, aber Bloedheit, Bequemlichkeit und Geiz sind eben immer staerker als die Vernunft.
In diesem Fall war es nichtmal Geiz, denn XCode ist vollkommen umsonst, sozusagen das Zuckerchen um werdende Entwickler an den AppStore heranzufuehren und auch um Qualitaetsstandards sicherzustellen. Also war's nur Bloedheit und Ungeduld. Das Dumme daran ist nur, dass die Kunden der blauaeugigen Entwickler jetzt darunter zu leiden haben die keine Chance hatten sich zu schuetzen.
4. Die bösen Chinesen ...
xineohp 21.09.2015
... ein Schuldiger ist gefunden und alles ist klar :-) Die Wahrheit: wer ein Smartphone benutzt, dem ist wahrscheinlich nicht mehr zu helfen. Bitte schützt wenigstens Eure minderjährigen Kinder und Jugendlichen! So viel Anstand und Verantwortung sollte auch einem internetsüchtigen Erziehungsberechtigten zugestanden werden können.
5.
Mr Bounz 21.09.2015
Zitat von GranataAlso mir scheint vielmehr, dass in China eine manipulierte Raubkopie von xcode ueber fragwuerdige Server vertrieben wurde. Also war es kein (direkter) Angriff auf den App Store, der viel schwerwiegender waere) sondern ein Angriff auf die chinesischen Entwickler (u.a. abgriff von Zugangsdaten). Man kann es noch so oft predigen, Software nur von vertrauenswuerdigen Quellen zu laden, aber Bloedheit, Bequemlichkeit und Geiz sind eben immer staerker als die Vernunft.
Der entscheidende Punkte sind doch diese: Apple hat es nicht gemerkt, das 1. die App Schadsoftware waren 2. die App von einer nicht original-XCode Version kommt Das bedeutet, Apple prüft weder die Programme, noch wo diese herkommen.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: