FAUmac

der Blog des FAUmac-Teams

Inhalt

WireLurker und Masque Attack – keine Panik aber Vorsicht

In den letzten Tagen haben zwei iOS Sicherheitslücke von sich reden gemacht. WireLurker und Masque Attack sind zwei Angriffe auf das Mobile Betriebssystem von Apple die auch bei nicht ge-jailbreakte Geräten funktionieren.

WireLurker wird über einen AppStore aus China verbreitet der gestohlene Software für den Mac anbietet. Lädt man nun eine dieser Programme herunter wird der Mac infiziert. Die Malware bleibt inaktiv bis ein iOS Gerät über das USB Kabel angeschlossen wird. Sobald ein Gerät erkannt wird wird erstmal geprüft ob das Gerät ge-jailbreaked ist. Für Geräte ohne Jailbreak wird eine App installiert die mit einem Enterprise Entwicklerzertifikat signiert ist. Solche Zertifikate dienen dazu in großen Firmen Apps zu verteilen die nicht über den AppStore installiert werden. Wird nun diese neu installierte App vom Benutzer gestartet muss dieser aktiv dem Entwickler dieser App vertrauen. Sie wird also nicht von alleine gestartet oder aktiviert. Auch bleibt die App auf ihre Sandbox beschränkt. Das bedeutet, dass sie nur auf ihre eigenen Daten zugreifen kann, es aber unter Umständen über private APIs trotzdem möglich sein kann aus der Sandbox auszubrechen (Apple verbietet Apps im offiziellen AppStore die Benutzung solcher undokumentierten APIs). Im Großen und Ganzen greifen aber Apples Sicherheitsmechanismen.
Apple hat das betreffende Enterprise Zertifikat bereits zurückgezogen und damit können diese Malware-Apps auf einem nicht ge-jailbreakten Gerät nicht mehr ausgeführt werden.
Weniger Glück haben Benutzer die einen Jailbreak auf ihr Gerät gemacht haben. Damit sind sämtliche Sicherheitsmechanismen die Apple zum Schutz seiner Geräte installiert, ausgehebelt. Bereits beim Start der App wird nicht nach dem „Vertrauen“ gefragt, die App wird einfach gestartet. Auch kann so eine App Systemdienste auf dem Gerät modifizieren oder Daten (wie etwa das Adressbuch, iMessages usw.) abschnorcheln. Potenziell kann damit jeglicher Internet Verkehr verfolgt werden und damit Zugriff auf sensitive Daten erlangt werden. Das Zurückziehen des Enterprise Zertifikat hilft Geräten mit Jailbreak wenig – die App bleibt installiert und lauffähig.

Gefährlicher ist das Angriffsszenario welches unter Masque Attack bekannt wurde. Drei Sicherheitsexperten der Firma FireEye berichten in ihrem Blog von einem möglichen Angriffsszenario. Der Angriff beruht auf dem Umstand, dass über Enterprise Zertifikate nicht nur Software am AppStore vorbei installiert werden kann sondern auch bereits installierte Apps auf dem Gerät überschrieben werden können.
Auch hier wird, ähnlich wie bei WireLurker, ein Enterprise Zertifikat benötigt. Der Unterschied hier ist aber, dass eine potenziell viel genutzte App überschrieben wird und durch eine präparierte Version ersetzt werden kann. In einem Video wird als Beispiel die Google Mail App ersetzt und damit auf die bestehenden Mails zugegriffen und auf einen Server hochgeladen.

(Link zum Video)

Als Installationsvektor wird ein Link auf eine für den Nutzer potenziell interessante App (im Beispiel ein New Flappy Bird) benutzt der etwa per SMS an den Benutzer geschickt wird. Akzeptiert der Benutzer die Installation und traut dem Enterprise Entwicklerzertifikat wird aber anstatt New Flappy Bird eben eine bereits installierte App durch eine präparierte Version überschrieben.
Auch bei Masque Attack bleibt Apples Waffe das entsprechende Enterprise Zertifikat zurückzuziehen. Trotzdem kann bis dahin bereits Schaden angerichtet worden sein. Masque Attack ist aktuell nur ein Angrifsszenario welches von den Sicherheitsexperten Apple bereits im Juli mitgeteilt wurde. Da WireLurker ähnlich funktioniert haben die FireEye Leute aber beschlossen Masque Attack zu veröffentlichen um auf die Gefahren hinzuweisen.

Beide Angriffe lassen sich mit ein wenig Vorsicht und Menschenverstand umgehen. Unser Tip ist und bleibt auf seinem iOS Gerät keinen Jailbreak zu machen. Außerdem sollen keine Apps aus dunklen Kanälen installiert werden, weder auf dem Mac noch auf iOS Geräten. Apple hat auch auf dem Mac das Code Signing eingeführt und Entwickler von aktuellen Mac Apps signieren ihre Programme. Deshalb muss auch der Gatekeeper nicht ausgeschaltet werden der beim Öffnen eines neu heruntergeladenen Programms nachfrägt ob dem Programm wirklich vertraut wird.
Und fast noch am wichtigsten: die Dialoge die iOS ab und zu zeigt sollen genau durchgelesen werden. Erst das blinde akzeptieren von Zertifikaten aus unbekannter Herkunft macht Attacken wie die beschriebenen möglich. Apple hat einen ziemlich guten Job gemacht um seine Benutzer vor Angriffen zu schützen. Letztendlich ist der Benutzer aber wie immer selbst für seine Handlungen verantwortlich. Und ob es die 89 Cent wert sind die man sich bei der Installation einer gecrackten Version von Flappy Bird spart muss jeder selbst wissen.