Masque Attack: Getauschte Apps und ein Kommentar
Dieses Jahr hat es der US-Konzern Apple alles andere als leicht, denn nach der letzte Woche enthüllten Malware WireLurker ist mit Masque Attack nun die nächste Schwachstelle im ansonsten sehr sicheren iOS aufgetaucht. Während jedoch WireLurker vorwiegend in China wütet, könnte die Neuentdeckung jedoch auch hierzulande wirklich bedrohlich werden.
Vom Prinzip her bedient sich Masque Attack demselben Angriffspunkt wie der Trojaner WireLurker (zum Beitrag) nur mit dem Unterschied, dass aus dem offiziellen iTunes App Store installierte Anwendungen durch eine Malware-verseuchte App ersetzt werden. Auch bei iOS-Geräten die keinen Jailbreak haben, weswegen die neue Angriffsmethode ungemein gefährlicher sein dürfte. Betroffen sind übrigens alle neueren Versionen von Apples mobilen Betriebssystem ab iOS 7.1.1 und aufwärts, einschließlich der iOS 8.1.1 Beta. Somit sind Millionen iPhone-, iPad- und iPod Touch Geräte potentiell betroffen.
Vorhersehbarer Angriff
Allerdings kann man sich auch mit etwas gesundem Menschenverstand gegen einen solchen Angriff absichern. Grundsätzlich wird der Angriff von Masque Attack mit einer SMS eingeleitet, in welcher man zum Download einer bestimmten App aufgefordert wird. Dabei kommen vor allem populäre und bekannte Apps zum Einsatz, wie beispielsweise das nicht mehr im iTunes App Store gelistete Flappy Bird. Spätestens hier sollte man bereits stutzig werden, denn iOS Apps lassen sich im Normalfall nicht außerhalb des App Store installieren. Es sei dann man einen Jailbreak.
Wird das Bauchgefühl dennoch ignoriert und auf den Link in der SMS geklickt, dann wird die Malware-verseuchte App auf das iOS-gerät heruntergeladen und mit einem Trick installiert. Masque Attack holt sich ganz einfach den sogenannten Bundle Identifier einer echten App, signiert die gefälschte App mit einem gültigen Enterprise Zertifikat und tauscht diese dann mit der originalen App einfach aus. Angriff geglückt.
Die Entdecker von Masque Attack – das Sicherheitsunternehmen FireEye – hat Apple über diese Lücke bereits Ende Juli informiert. Man habe sich zu der jetzigen Veröffentlichung nur entschieden, da mit WireLurker eine erste Malware eben diese Lücke in Teilen ausnutzt und auch erste Angriffe wohl entdeckt wurden.
Masque Attack, WireLurker und ein Experten-Kommentar
Auch wenn Angriffsszenarien über Masque Attack theoretisch möglich sind, müssen laut einem Kommentar von Trend Micro nicht zwangsläufig auch wirklich größere Angriffswellen erfolgen. Einer der Schlüssel für erfolgreiche Angriffe liegt den Malware-Experten zufolge in der Art wie Apple das Unternehmens-Provisioning handhabt. Mit von Apple ausgestellten Enterprise Zertifikaten lassen sich spezielle Apps auch ohne iTunes installieren, die vom Unternehmen bereit gestellt werden.
Genau das ist laut Trend Micro auch die eigentliche Schwachstelle: Das (unbemerkte) Stehlen von legitimen Enterprise Zertifikaten, um mit Malware verseuchte Apps als echt zu signieren und so zu verteilen. Insofern kann man Masque Attack und WireLurker eher als einen Test verstehen um zu sehen, wie man in das als sicher geltende iOS eindringen kann.
Um derartige Bedrohungen künftig vermeiden zu können, müsste Apple jedoch das Mobile Device Management (MDM) grundlegend überarbeiten und das geht nun mal nicht von jetzt auf heute. Eine erste sofort umsetzbare Gegenmaßnahme ist hingegen äußerst einfach: Man muss die Mitarbeiter schulen, nicht jede App einfach so zu installieren. Schon gar nicht, wenn diese per SMS angeboten werden.
