Feature [UPDATE] WireLurker: Malware für iOS greift erstmals Geräte ohne Jailbreak an

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.134
Forscher des IT-Sicherheitsunternehmens Palo Alto Networks haben eine neue Malware entdeckt, die es auf Apple-Geräte abzielt, berichtet die New York Times. Die Schadsoftware, die von den Forschern auf den Namen WireLurker getauft wurde, infiziert über die Installation modifizierter Apps den Mac und verbreitet sich anschließend sogar auf über USB-Kabel angeschlossene iPhones, iPads und iPods. Selbst nicht gejailbreakte iOS-Geräte sind angreifbar. Palo Alto Networks bezeichnet WireLurker daher als "eine neue Gefahrenart für alle iOS-Geräte". Bisher waren Malwares dieser Art nur für Geräte mit Jailbreak bekannt.[prbreak][/prbreak]

Unmittelbare Gefahr scheint es für Nutzer hierzulande jedoch vorerst nicht zu geben. Die Malware verbreitet sich über den Maiyadi App Store, eine alternative Vertriebsplattform für OS-X-Programme in China. Dort sollen 467 mit der Malware infizierte Programme erhältlich sein, die bisher über 350.000 Mal heruntergeladen wurden. Laut Angaben von Palo Alto Networks sind womöglich hunderttausende Nutzer betroffen. Es sei der größte Angriff dieses Ausmaßes, den man je gesehen habe, so die Sicherheitsforscher.

WireLurker nistet sich durch die Installation eines modifizierten Programms am Mac ein und überwacht fortan die USB-Verbindungen. Sobald ein iOS-Gerät angeschlossen wird, übeträgt sich die Schadsoftware – offenbar nach Bestätigung eines Enterprise-Zertifitkats. Die Angreifer machen sich dabei das Enterprise Developer Program zunutze, mit dem große Unternehmen normalerweise abseits des App Stores Software auf ihren Geräten verteilen.

Nach der Installation der Malware auf iOS-Geräten haben die Angreifer Zugriff auf das Adressbuch, iMessages, SMS und können ohne Zutun des Nutzers Updates der Malware installieren. Welches Ziel die Angreifer genau verfolgen, sei derzeit noch unbekannt. "Sie bereiten sich immer noch auf einen möglichen Angriff vor", zeigen sich die Experten von Palo Alto Networks jedoch sicher.

Apple wurde bereits über die neue Malware informiert, Stellungnahme aus Cupertino gab es bisher jedoch keine. Palo Alto Networks empfiehlt allen iOS- und OS-X-Nutzern, Software für den Mac nur aus vertrauenswürdigen Quellen zu installieren – der Mac App Store oder die offizielle Webseite der Entwickler. Außerdem sollen iOS-Geräte nicht mit unbekannten Geräten verbunden werden und die Software sollte am aktuellen Stand sein.

Update (16:40 Uhr):
Apple hat mittlerweile reagiert und bestätigt gegenüber iMore, dass die entsprechenden Apps bereits blockiert werden. Außerdem gibt Apple an, das betreffende Enterprise-Zertifikat zurückgezogen zu haben.

image.jpg
Via New York Times & The Verge
 

Bio Exorzist

Gascoynes Scharlachroter
Registriert
29.08.09
Beiträge
1.539
Das ist eher unschön, hoffentlich schiebt Apple da schnell einen Riegel vor, bevor das noch größere Ausmaße annimmt...
 

dakai

Salvatico di Campascio
Registriert
12.11.13
Beiträge
431
Das ist eher unschön, hoffentlich schiebt Apple da schnell einen Riegel vor, bevor das noch größere Ausmaße annimmt...

Riegel sind doch bereits vorhanden:
- Grundsätzliche Existenz des MacApp Store
Und vorgeschoben ist der Riegel außerdem:
- Standard Einstellungen Sicherheit / Gatekeeper

Wer Software außerhalb des MacApp Store installiert muß sich der Risiken bewusst sein. Wer die Gatekeeper Voreinstellung außer Kraft setzt muß sich der Risiken bewusst sein. Den Riegel zu öffnen geschieht manuell mittels eigenhändiger Änderung der Einstellungen. Dagegen hilftg vielleicht nur eine Komplettabschottung. Da wäre das Geschrei aber groß ^^
 
  • Like
Reaktionen: Nathea und Foat

Bio Exorzist

Gascoynes Scharlachroter
Registriert
29.08.09
Beiträge
1.539
Riegel sind doch bereits vorhanden:
- Grundsätzliche Existenz des MacApp Store
Und vorgeschoben ist der Riegel außerdem:
- Standard Einstellungen Sicherheit / Gatekeeper

Wer Software außerhalb des MacApp Store installiert muß sich der Risiken bewusst sein. Wer die Gatekeeper Voreinstellung außer Kraft setzt muß sich der Risiken bewusst sein. Den Riegel zu öffnen geschieht manuell mittels eigenhändiger Änderung der Einstellungen. Dagegen hilftg vielleicht nur eine Komplettabschottung. Da wäre das Geschrei aber groß ^^

Das sind beides zwar nette Ansätze, aber nichts hält den Schadsoftware-Autoren ab, ihre Software über weitere Wege zu verbreiten (vielleicht auch abseits von OS X)!

Zudem hält Gatekeeper auch einiges an Software ab, die definitiv nicht schädlich ist...

Da muss Apple schon die "Lücke" schließen und sich nicht auf eventuelle Einstellungen der Kunden verlassen ;)

Apple muß nur das Enterprise Zertifikat ungültig machen, das die Angreifer für die Installation benutzen, dann läuft keine App mehr, die das benutzt.

Na dann hop! ^^

Besser gestern, als morgen :D
 

padrak

deaktivierter Benutzer
Registriert
08.10.08
Beiträge
1.088
Solange Brain 1.0 dafür ausreicht, solche Software zu umgehen, ist es für mich auch keine echte Malware.
Soll nicht heißen, dass Apple sich das nicht mal anschauen sollte, aber grundsätzlich ist das ein Nutzerproblem.
 

frostdiver

Zwiebelapfel
Registriert
19.06.12
Beiträge
1.282
Aus dem Paper von Paloalto Networks:
Yet, on the first attempt to run a WireLurker application on iOS, users are presented with a dialog requesting confirmation to open a third-party application (Figure 16). If the user chooses to continue, a third-party enterprise provisioning profile will be installed and WireLurker will have successfully compromised that non-jailbroken device.
 

RudolfGottfried

Schöner von Nordhausen
Registriert
13.03.11
Beiträge
316
"alternative Vertriebsplattform für OS-X-Programme" LOL
Respekt, Herrn Wendel, für diese gelungene euphemistische Umschreibung einer komplett verseuchten Raubkopienschleuder. :D
 
Zuletzt bearbeitet:

yves78

Rhode Island Greening
Registriert
21.08.11
Beiträge
480
Diese Nachricht schafft es vermutlich dennoch in alle Schlagzeilen. Traurig.
 

redhat77

Roter Delicious
Registriert
31.03.14
Beiträge
91
Bildschirmfoto 2014-11-06 um 18.14.46.png
Es existiert auch ein Script für das Terminal, welches einen möglichen Befall anzeigt.


Gesendet von meinem iPad mit Apfeltalk
 

walandi

Jonagold
Registriert
11.08.12
Beiträge
20
Ich habe immer wieder das Gefühl, dass iOS relativ sicher ist, solange die Netzwerkzugriffe über das WLAN oder Funknetz erfolgen. Sobald man aber physischen Zugriff auf das iOS-Gerät hat, also über die USB Schnittstelle, hört man doch immer wieder, dass Angriffe möglich geworden sind. Deshalb würde ich jetzt auch nie mein iPhone an einer öffentlichen Aufladestation aufladen wollen.
 

Mure77

Golden Noble
Registriert
25.06.07
Beiträge
14.850
Ist Enterprise generell abgeschaltet oder nur das eine Zertifikat ?
 

ImpCaligula

deaktivierter Benutzer
Registriert
05.04.10
Beiträge
13.859
Diese Nachricht schafft es vermutlich dennoch in alle Schlagzeilen. Traurig.

Wenn man die Focus Online Schlagzeile wieder mal interpretiert - sind nun alle Mac Rechner und Apple Device Besitzer hoffnungslos verloren und der Virus verbreitet sich wie ein Lauffeuer... natürlich keine Rede davon, dass man sich das Zeugs aus einer nicht legalen Quelle holen muss...

Dummerweise steigert das natürlich wieder die Zahl der Leute, welche hier mit einem AV Programm aufschlagen werden...