Sicherheitslücke bei iOS Angreifer schmuggeln gefälschte Apps aufs iPhone

Programme können nicht nur über Apples offiziellen Store aufs iPhone oder iPad geladen werden. IT-Forscher warnen: Man kann sich auch gefälschte Apps einfangen - die zum Beispiel E-Mails mitlesen.

iOS-Warnhinweis: Lücke in Apples mobilem Betriebssystem

iOS-Warnhinweis: Lücke in Apples mobilem Betriebssystem


Die Sicherheitsfirma FireEye hat eine Möglichkeit gefunden, Apps auf dem iPhone auszutauschen. Einem Nutzer kann so beispielsweise eine täuschend echt aussehende E-Mail-App untergeschoben werden, die heimlich Passwörter und Nachrichten mitliest. Ganz ohne Zutun des Nutzers funktioniert der "Masque Attack" aber zum Glück nicht.

Die FireEye-Forscher berichten in einem aktuellen Report, wie eine Sicherheitslücke ausgenutzt werden kann, um Apps auf ein Mobilgerät mit iOS 7 oder 8 zu installieren. Nach eigenen Angaben hat die Firma das Problem schon im Juli an Apple gemeldet.

Nun sei dem Team aufgefallen, dass die Lücke durch die relativ harmlose Schadsoftware "WireLurker" bereits ausgenutzt wurde. Es gebe aber noch weitaus gravierendere Möglichkeiten, Nutzer anzugreifen. In einem Video auf YouTube zeigen sie ein Beispiel: Der Angreifer sendet eine Nachricht per SMS, iMessage oder E-Mail. In dieser wird der Nutzer über einen Link auf eine Download-Seite geschickt - in dem Beispiel ist es eine angebliche neue Version des Spiels "Flappy Bird".

Warnungen auf dem Telefon ernst nehmen

Der Link führt aber nicht in den offiziellen App Store von Apple, sondern auf eine manipulierte Webseite. Sie installiert auf dem iOS-Gerät dann eine Schadsoftware, die sich mit dem Server des Angreifers verbindet. Im Video ist dies eine täuschend echt als Gmail-App getarnte Spionagesoftware, die es ermöglicht, E-Mails und Telefonate zu überwachen. Auch Login-Daten etwa für das Online-Banking sollen so in die Hände von Angreifern fallen können.

Die Nutzer werden zwar gewarnt und müssen den Download bestätigen. Doch dann kann die Seite eine gefälschte App unterschieben, die eine bereits bestehende auf dem Gerät ersetzt. Schlimmer noch: Die App kann auf gespeicherte Daten des Originals wie Passwörter zugreifen. Dafür, dass so ein Angriff überhaupt möglich ist, macht FireEye eine unzureichende Prüfung von Zertifikaten verantwortlich.

Nutzer können sich derzeit am besten schützen, indem sie Apps grundsätzlich nur aus dem App Store installieren.

abr



insgesamt 40 Beiträge
Alle Kommentare öffnen
Seite 1
socketuning 11.11.2014
1. Das ist behoben
und es war eigentlich auch gar nicht so einfach, erst musste man auf einem Mac ein manipuliertes Programm aus einem alternativen Appstore in China installieren, dann konnte ein iPhone oder iPad über die USB Schnittstelle "infiziert" werden. Im Grunde ist das eigentlich auch keine Sicherheitslücke sondern eine erwünschte Funktion, das wird mit dem Programm gemacht welches man auch benutzt um z.B. eine größere Menge von Geräten für den Firmeneinsatz mit eigener Software auszurüsten. Ja, man muss nicht alles über den Apple Appstore beziehen, man kann auch eigene Software installieren. Nicht nur bei Android :)
misterixx 11.11.2014
2. Selber Schuld
Wer blind auf jeden Link klickt und Warnungen ignoriert ist selber Schuld!
chk23 11.11.2014
3.
...ist hier wohl in erster Linie der Benutzer, dem es nicht seltsam vorkommt, dass er plötzlich eine supertolleumsonstapp von einer unsicheren Website installieren kann, obwohl jeder weiss, dass iOS Apps offiziell nur und alleine über den AppStore vertrieben werden, und es sich bei allem anderen um illegale bzw. zwielichtige Quellen handelt, die in jedem Fall als unsicher anzusehen sind. Und man wird auch noch vor dem "Nicht vertrauenswürdigen Anbieter" gewarnt... Also wenn das eine "Sicherheitslücke" ist, dann eine gut gepolsterte mit Anschnallgurt und doppeltem Fallschirm...
Mr Bounz 11.11.2014
4.
Bin ja wirklich kein Apple Fan, aber diese Nachricht ist lächerlich. Wer den Hinweis auf eine unsichere Download Quelle ignoriert, dem kann nicht geholfen werden.
suseberlin 11.11.2014
5. Was ist daran so außerwöhnlich?
Die meisten Apps lesen doch sowieso die persönlichen Daten aus, dies sollte mir als Consumer doch bekannt sein. Was kann denn dann noch an Passwörtern so aufregend sein? Der gewöhnliche Apple-Käufer wird doch sowieso anmerken, dass er nichts zu verbergen habe *g*
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.