Apple App Store: Lücke bereits seit März bekannt
Bislang galten Apps für iPhones und iPads im offiziellen App Store wegen Apples strenger Vorgaben und Kontrollen als relativ sicher. Nun ist es allerdings zum ersten Mal gelungen, schadhafte Programme massenhaft in den App Store einzuschleusen. Die manipulierten Anwendungen können dazu verwendet werden, um Passwörter abzufangen, Nutzer auszuspionieren oder infizierte Geräte aus der Ferne zu steuern.
Unter den betroffenen Apps befanden sich etwa PDFReader, WinZip, Pocket Scanner, CamCard oder die chinesische WhatsApp-Alternative WeChat mit mehr als 500 Millionen Nutzern. Insgesamt seien mehrere Hundert Apps betroffen, wie die chinesische Sicherheitsfirma Qihoo 360 herausgefunden haben will.
Zahlen nennt Apple keine, teilt jedoch auf gewohnt schmallippige Art und Weise mit: "Wir haben die Apps aus dem App Store entfernt, von denen wir wissen, dass sie Schadsoftware enthalten." Ob tatsächlich alle betroffenen Anwendungen gelöscht worden sind, ist unklar. Einige App-Anbieter, wie etwa WeChat, haben ihre Apps bereits entsprechend aktualisiert. Hinweise darauf, dass die Sicherheitslücke für kriminelle Zwecke ausgenützt wurde, gebe es nicht.
Was tun?
"Im Moment können iOS-Nutzer nicht viel mehr tun, als sich zu informieren, ob sie eine der schadhaften Apps verwenden. Sollte das der Fall sein, ist es empfehlenswert, diese zu deinstallieren", sagt Robert Waldner, Sicherheitsexperte bei Cert.at, der österreichischen Koordinationsstelle für IT-Sicherheit.
Da die kompromittierten Apps im offiziellen App Store verfügbar waren, sei es praktisch unmöglich, sich präventiv gegen solche Angriffe zu schützen, erklärt Waldner im Gespräch mit der futurezone. Bislang galt der App Store als zuverlässig und sicher. "Ein gesundes Maß an Misstrauen ist aber immer angebracht", sagt Waldner. Öffnet sich also am Smartphone plötzlich ein ungewöhnliches Fenster, das zur Passworteingabe auffordert, sollte man der Aufforderung nicht nachkommen und die entsprechende App gegebenenfalls löschen.
Wie es dazu kam
Da der Zugriff auf die offiziellen Apple-Seiten aus China nicht immer gewährleistet ist bzw. durch die "Great Firewall" nur mit gedrosselter Geschwindigkeit erreichbar ist, sind Kopien von Xcode auch lokal in China gehostet worden. Eine dieser Kopien ist manipuliert und mit schadhaftem Code infiziert worden. App-Entwickler, die diese gefälschte Software-Version für die Programmierung ihrer App verwendet haben, hatten unwissentlich eine schadhafte Anwendung in den App Store geschleust. Daher wurde dem Angriff auch der Name "Xcode Ghost" verliehen.
Bei der Zulassung der Apps hat der als besonders streng geltende App-Zulassungsprozess von Apple erstmals in größerem Umfang versagt. Vor dem aktuellen Fall waren insgesamt nur fünf schadhafte Apps im App Store entdeckt worden.
Angriffsvektor bereits bekannt
Die CIA sucht seit Jahren nach Hintertüren in Apple-Geräten, um die Nutzer ausspionieren zu können. Wie The Intercept bereits im März dieses Jahres berichtete, wurde bei einem jährlichen Geheimtreffen, das von der CIA unterstützt wird, als eine mögliche Variante die Manipulation des Development-Tools Xcode genannt. Dabei handelt es sich um genau denselben Angriffsvektor wie beim aktuellen "Xcode Ghost"-Angriff. Das geheime Dokument, auf das sich The Intercept dabei beruft, stammt übrigens aus dem Jahr 2012.
Die einzige Frage, die damals angeblich nicht beantwortet werden konnte, war, wie man die Entwickler dazu bringt, die manipulierte Xcode-Version zu verwenden. Anhaltspunkte, ob die CIA hinter Xcode Ghost steckt, gibt es derzeit keine. Apple hätte allerdings spätestens zu diesem Zeitpunkt über die Möglichkeit, per Xcode Schadcode auf iOS-Geräte zu schleusen, Bescheid wissen müssen.
Bekennerschreiben
Auf dem chinesischen Online-Netzwerk Weibo ist ein angebliches Bekennerschreiben aufgetaucht. Darin entschuldigt sich der Verfasser und behauptet keine kriminellen Ziele verfolgt zu haben. Er habe die Schwachstelle in Xcode entdeckt und wollte herausfinden, wozu die Lücke genutzt werden kann. Konkret gibt er an, Version und Name der Applikation, Systemversion, eingestellte Sprache und Land, Identität des Developer, Installationszeit der App, sowie Gerätename und Gerätetyp abgesaugt zu haben. Die gesammelten Daten will er bereits gelöscht haben.
Dies passt auch ins Gesamtbild. Denn nach der derzeitigen Faktenlage hält sich der entstandene Schaden in Grenzen. Ob das auch tatsächlich so ist, wird sich allerdings erst zeigen.