Masque Attack: iOS 8 Sicherheitslücke ermöglicht das unbemerkte Ersetzen von Apps

| 21:21 Uhr | 6 Kommentare

Erst vor wenigen Tagen tauchte die Malware WireLurker auf, die es ermöglicht, dass Schadsoftware über den Mac per USB-Kabel auf iOS-Geräten installiert werden kann. Die vorweiegend in China zum Tragen kommende Malware wurde bereits von Apple blockiert. Dabei machten sie die Angreifer modifizierte Enterprise-Zertifikate zu Nutze.

iphone6_test4

Nun taucht mit Masque Attack eine weitere iOS 8 Sicherheitslücke auf, die durchaus gefährlicher zu sein scheint. Masque Attack ist in der Lage aus dem App Store geladene Applikationen mit einer modifizerten App zu ersetzen.

Das eingebundene Video demonstriert wie das Ganze funktioniert. Das Prozedere wird anhand der Gmail-App demonstriert. Die Angreifer verschicken beispielsweise eine SMS und bitten das Opfer eine bestimmte App herunterzuladen. Hierbei wird mit populären Apps geworben, so z.B. mit Flappy Bird, welche nicht mehr im App Store verfügbar ist.

Klickt der Angegriffene auf den Link, so wird eine verseuchte App heruntergeladen, welche die Gmail-App ersetzt. Dabei macht sich der Angreifer die Enterprise Zertifikate und den Bundle Identifier einer App zu Nutze. Ein Jailbreak auf den Geräten muss nicht vorhanden sein. iOS 7.1.1, iOS 7.1.2, iOS 8.0, iOS 8.1 sowie die iOS 8.1.1. beta sind betroffen.

Laut FireEye (via TNW), die Sicherheitsfirma, die die Lücke gefunden hat, wurde Apple bereits Ende Juli auf den Umstand aufmerksam gemacht, doch anscheind hat es bei Apple noch niemand für nötig gehalten, darauf zu reagieren.

Verschiedene Gefahren gehen von Masque Attack aus. So können beispielsweise Login-Daten abgegriffen und SMS-Nachrichten mitgelesen werden. Wir können euch nur dringend raten, keine Apps, die euch unbekannte Absender per SMS oder Mail schicken, zu installieren. Folgt keinen Links, die euch angeboten werden.

Kategorie: iPhone

Tags:

6 Kommentare

  • Micha

    Ich soll also von einer fremden Person von der ich eine Nachricht bekomme auf einen ungewissen link klicken von dem ich auf eine Unbekannte Website geleitet werde wo ich eine App downloaden soll (und nein mir fällt nicht auf das ich nicht im Appstore bin^^) die sich als ganz anders aussehende App auf meinem Bildschirm zeigt, die ich dann auch noch öffne und nicht wieder löschen darf xD also das war früher schon mal einfacher mit dem Hacken xDD

    10. Nov 2014 | 21:41 Uhr | Kommentieren
    • Maximilian

      Wieso? Gibt doch auch Leute, die glauben, dass es echt ist, wenn plötzlich auf einer x-beliebigen Seite „DEIN WHATSAPP IST ABGELAUFEN – JETZT FÜR 10€ LEBENSLANG VERLÄNGERN“ draufklicken und zahlen. 😀

      11. Nov 2014 | 6:50 Uhr | Kommentieren
  • mated

    Ich bin ein Millionär und möchte mein Vermögen mit dir teilen. Lade dir diese Software zum Transfer herunter und gebe dein Kontodaten und Passwort ein….. 😉

    Ich habe auch gedacht „gibt es wirklich Menschen die darauf hereinfallen?“. Aber es ist so, das manche wirklich alles glauben und jeden Mist anklicken ohne auch nur eine Sekunde zu denken.

    So war es leider schon immer: Schicke 5 Millionen Mails, SMS etc. raus und dir wirst dein Geld machen (zumindest kurzfristig).

    11. Nov 2014 | 9:31 Uhr | Kommentieren
  • Fuchsschwanz

    @maximilian

    Schönes Beispiel.
    Generell dachte ich aber, dass es eh ausgeschlossen ist, ohne Jailbreak etwas von „außerhalb “ zu installieren .
    Haben wir hier Fachleute die das beantworten können ?
    Ist es möglich , auf einen gerät ohne Jailbreak eine Anwendung aus einer anderen Quelle als dem AppStore zu installieren ?

    11. Nov 2014 | 19:29 Uhr | Kommentieren
    • Mated

      Ja, das geht. Meine Firma hat auch mal ne App für Mitarbeiter gemacht. Kann man installieren und wird dann auch als App von anderen Quellen angezeigt. Allerdings gibt es hier noch mal eine Warnung ob man die App wirklich installieren möchte da sie aus einer möglichen potentiell unsicheren Quelle stammt.

      11. Nov 2014 | 22:25 Uhr | Kommentieren
  • Fuchsschwanz

    @mated

    Also betrifft es quasi nur Firmen ? Oder Mitarbeiter von Firmen . Mit speziellen firmeninternen Apps oder wie ?
    Ist der privatuser quasi verschont ?

    12. Nov 2014 | 3:36 Uhr | Kommentieren

Schreibe einen Kommentar zu Maximilian Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert