App Store: Forscher schmuggeln Trojaner durch Apple-Prüfung

iPhone-Bildschirm: Apples App-Kontrolle umgangen Zur Großansicht
AP/dpa

iPhone-Bildschirm: Apples App-Kontrolle umgangen

Sicherheitsforscher des Georgia Institute of Technology haben Apples App-Kontrolle ausgetrickst. Sie schmuggelten einen Trojaner, der Daten kopiert und Schadcode nachlädt, durch die Sicherheitsprüfung. Die Kontrolle dauerte nur wenige Sekunden.

"Jekyll" heißt die App, mit der die Sicherheitsforscher des Georgia Institute of Technology Apples Sicherheitskontrollen umgangen haben. Jekyll, weil die App bei Apples Vorabprüfung wie ein harmloses Programm erscheint und sich erst nachträglich selbst zu einem hässlichen Stück Schadcode zusammensetzt.

Die Forscher haben ihren Angriff am Wochenende bei einem Kongress in den USA vorgestellt. Sie berichten, dass die "Jekyll"-App von Apple freigegeben wurde. Danach aktivierten sie aus der Ferne die harmlos erscheinenden Programmteile, die sich zu einem Virus zusammensetzen. Die verwandelte App konnte heimlich Twitter-Posts, E-Mails und Textnachrichten verschicken, Fotos aufnehmen, Geheimzahlen und persönliche Informationen stehlen und zusätzlichen Schadcode nachladen.

Mit diesem Trick konnten die Forscher Apples Sicherheitskontrollen für neue Apps umgehen. Übelmeinende Hacker könnten sich den Ansatz nun zu eigen machen. "Die App telefoniert nach Hause, sobald sie installiert wird, und wartet auf Steuerbefehle", erklärt Forscher Long Lu dem Fachmagazin "Technology Review".

Apple-Kontrolle testet ein paar Sekunden lang

Die App schickte den Forschern Informationen über die Prüfung bei Apple zurück. Den Wissenschaftlern zufolge wurde die Software nur einige Sekunden lang ausgeführt. Dabei sei gerade einmal genug Zeit für eine sogenannte statische Analyse, bei der eine Reihe von Standardtests am Quelltext ausgeführt werden.

So können bestimmte Fehler oder Probleme entdeckt, aber nicht unbekannte Sicherheitslücken oder Ungereimtheiten ausfindig gemacht werden. Bei einer langwierigen, dynamischen Untersuchung im laufenden Betrieb könnte man auch beobachten, welche Informationen die App nach draußen schickt.

Dieses Problem hat jeder App-Markt: Eine ausführliche Analyse jeder neu eingereichten App erscheint zeitlich unmöglich, Sicherheitslücken wird es immer geben. Etwas Schutz bieten Betriebssysteme, die genau kontrollieren, welche App welche Informationen empfängt und versendet. Aber das ist wenig nutzerfreundlich - der Nutzer muss ständig zwischen Komfort und Sicherheit abwägen.

Wer absolute Sicherheit auf dem Smartphone oder Tablet will, darf darauf nichts Wichtiges speichern.

fko

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 26 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Wer absolute Sicherheit...
derz 19.08.2013
auf Smartphone oder Tablet will, sollte es nicht (sinnvoll) nutzen? Was für ein wertvoller Tipp - danke!
2. Problem?
christiananonymous 19.08.2013
Das einzige Problem scheint das Nachladen von Schadcode zu sein, der Rest ist normales Verhalten von Apps.
3.
Konstruktor 19.08.2013
Zitat von christiananonymousDas einzige Problem scheint das Nachladen von Schadcode zu sein, der Rest ist normales Verhalten von Apps.
Nachladen von Schadcode haben sie wohl auch hier nicht geschafft – dagegen gibt es technische Vorkehrungen. Soweit ich die Sache mitbekommen habe (alle wirklichen Informationen, die ich dazu gesehen habe, waren ziemlich vage, abgesehen von reißerischen Pauschal-Behauptungen), haben sie lediglich aus vorhandenen Code-Segmenten andere Verhaltensweisen zusammengestöpselt. Auch an persönliche Daten des Nutzers dürfte die App nur nach vorheriger Freigabe durch den Nutzer gekommen sein, da es auch hier eine Sperre gibt. Das Versenden von Mails und Tweets geht grundsätzlich immer, wenn ein Programm Internet-Zugang hat, nur ohne Kenntnis der Nutzer-Login-Daten kommt es an dessen Accounts nicht heran, sondern kann nur schon vorher bekannte Accounts benutzen. Und beim Nutzen der iOS-Funktionen für solche Versendungen kann eine App normalerweise nicht verhindern, daß der Nutzer jede Nachricht erst mal zur Prüfung vorgelegt bekommt – das läßt sich nur umgehen, wenn die App einen eigenen Client enthält. Und für eine *statische* Analyse muß man den Code gerade *gar nicht* ausführen – das ist gerade das "statische" daran! Dabei wird der Code selbst mit seinen ausführbaren Dateien daraufhin analysiert, welche Symbol-Referenzen er nach außen hat, welche OS-Schnittstellen er also z.B. aufrufen will, und auf weitere strukturelle Merkmale.
4. Welche revolutionäre Technik...
jesse 19.08.2013
..sorgt denn dafür, dass mein Smartphone/Tablet absolut sicher ist wenn ich nichts wichtiges darauf speichere? Und woher weiß es das?
5. was hat das bitte mir forschen zu tun?
Lutz Richter 19.08.2013
ich sehe das eher als Sicherheitstester. Das hat doch nichts mit Forschung zu tun oder?
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Apple
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 26 Kommentare
Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.