Masque Attack: Apple weiß von keinen Angriffen
Dass das mobile Betriebssystem für iPhone und iPad namens iOS nicht ganz so sicher ist wie immer geglaubt wurde, zeigte sich diese Woche mit der Sache rund um Masque Attack. Bei dieser Methode wird eine für Unternehmen vorgesehene Möglichkeit durch eine Malware ausgenutzt, um Apps gegen Fälschungen auszutauschen. Aber Apple sind keine Angriffe bekannt.
normalerweise wird immer gesagt, dass nur auf gejailbreakten iOS-Geräten sich Malware einschleusen kann, aber sowohl WireLurker (zum Beitrag) als auch die ihm zugrunde liegende Methode Masque Attack haben auf fast schon bedrohliche Art und Weise das Gegenteil bewiesen. Auch wenn die Gefahr prinzipiell sehr hoch ist, sieht Apple als Verantwortlicher für die Sicherheit der iOS-Plattform noch keinen Handlungsbedarf. Die Begründung kommt einem dabei vertraut vor: Ähnlich reagierte das Unternehmen bei der Geschichte mit den verbogenen iPhone 6 Plus Modellen.
Masque Attack ist „keine akute Gefahr“
Gegenüber den Kollegen von iMore erklärte der Konzern ganz einfach, dass man keine von Masque Attack betroffenen Kunden habe. Zumindest habe sich noch niemand bei Apple gemeldet, der auch tatsächlich durch diese Lücke geschädigt worden sei. Allgemein ermahnte das Unternehmen seine Kunden nochmals dazu, Apps ausschließlich über den offiziellen iTunes App Store zu installieren und nicht aus irgendwelchen Drittanbieter-Stores, wie es sie bei Android gäbe. Außerdem sollten Nutzer die Sicherheitsmeldungen stehts beachten. Unternehmenskunden wurde zudem nahegelegt, Apps nur von der Website des eigenen Arbeitgebers zu installieren. Diese seien im Normalfall mit einem gültigen Enterprise-Zertifikat signiert.
Das Masque Attack nicht gerade ungefährlich ist, zeigt auch die Warnung des US Heimatschutzministerium Homeland Security, in etwa vergleichbar mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik. Dabei sprach die Behörde bzw. die Institution US-Cert nochmal das Thema dahingehend an, dass Angriffe über Masque Attack vor allem über E-Mails und SMS-Nachrichten eingeleitet werden.
Letztlich sind das nur behelfsmäßige Maßnahmen, da die eigentliche Ursache in der Handhabung der Enterprise-Zertifikate liegt. Das System mit dem Ausstellen der Zertifikate müsste Apple nach der Meinung von Sicherheitsexperten von Trend Micro an sich grundlegend überarbeiten (zum Beitrag), um ähnliche Angriffe die auf Masque Attack basieren, künftig grundsätzlich vermeiden zu können. Allerdings braucht ein solcher Prozess auch seine Zeit, sodass nicht allzu schnell mit einer Lösung zu rechnen ist.
