Kein System ist sicher. Auch das von Apple nicht. Bisher hat die Vorgehensweise im App Store zumindest recht gut funktioniert, denn jede der dort zur Veröffentlichung angemeldeten iOS-Apps wurde vor der Freigabe von Apple geprüft. Nun haben es anscheinend einige mit Schadsoftware infizierte Apps geschafft, an Apples Torwächter vorbei zu kommen. Für die Sicherheitslücke ist eine modifizierte Version von Apples Entwicklerwerkzeug Xcode namens XcodeGhost verantwortlich.
Infizierte Xcode-Version
Der Ursprung des infizierten Tools scheint aus China zu stammen. Hier wurde das veränderte und bereits infizierte Tool zum Entwickeln von Apps genutzt, so dass sich die Malware beim kompilieren an die Apps heften konnte. Diese Malware scheint sich durch die Nutzung der modifizierten Version von Xcode anscheinend so zu tarnen, dass die damit entwickelten Apps durch Apples Sicherheitskontrollen ihren Weg in den App Store finden konnten. Entwickler dürften einen inoffiziellen Server für den Download von Xcode verwendet haben, da dieser höhere Downloadraten bot als die US-Server von Apple.
Betroffene Programme
Die Anzahl der mit der Malware infizierten Apps soll unbestätigten Quellen zufolge mittlerweile auf über einhundert Apps angewachsen sein. Ein Großteil davon betrifft Programme, die vor allem im asiatischen Raum verbreitet sind. Manche der Apps dürften aber auch weltweit verwendet worden sein. Zu den infizierten Apps sollen unter anderem WinZip, der Videoplayer OPlayer HD und der Dokumentenscanner CamScanner Pro zählen, um die bekanntesten Namen aufzuzählen.
Beim am weitesten verbreiteten Programm dürfte es sich aber um den Instant-Messenger WeChat handeln. Die Chat-App wird weltweit von 600 Millionen Nutzern verwendet und hat sich im asiatischen Raum als beliebte WhatsApp-Alternative etabliert. Mit dem Update auf Version 6.2.6, das am 12. September veröffentlicht wurde, soll die Malware aber bereits aus WeChat entfernt worden sein.
Keine Hinweise auf Datenklau
Nach Auskunft des Sicherheitsunternehmens Palo Alto Networks gebe es bisher keine Hinweise auf einen Datenklau, trotzdem sei der Vorfall “eine ziemlich große Sache”. Die Malware soll prinzipiell in der Lage sein, gewisse Daten vom Gerät abzugreifen – darunter den Namen und den Identifier der infizierten App, Gerätenamen, Erkennungsnummer des Gerätes (UDID) und Netzwerktyp.
Phishing-Attacke möglich
Außerdem sollen infizierte Apps über einen Befehl vom Server der Angreifer einen Eingabedialog zum Entwenden von Anmeldedaten anzeigen können und die Zwischenablage, in der etwa kopierte Passwörter von Passwortverwaltungs-Programmen liegen könnten, auslesen können. Die Webseite von Palo Alto Networks, auf der sich weitere Informationen zu dem Angriff befinden, ist derzeit nicht erreichbar.
Apple entfernt betroffene Apps
Apple bestätigte den Angriff bereits gegenüber der New York Times, bekräftigte jedoch, die noch betroffenen Apps bereits aus dem App Store entfernt zu haben. Dennoch kann es durch das Herunterladen der Apps zu einer enorm hohen Anzahl von bereits infizierten Geräten gekommen sein – Palo Alto Networks geht von über 500 Millionen infizierten iOS-Geräten aus.
Was jetzt?
Ob und wie man eine Infektion des eigenen Gerätes überprüfen kann ist derzeit noch nicht bekannt. Apple hat bislang noch keine Details hierzu veröffentlicht. MacRumors empfiehlt allen Nutzern der Programme in dieser Auflistung eine Deinstallation der betroffenen Apps und eine Änderung der Passwörter von iCloud, Apple-ID und sämtlichen anderen Diensten, mit denen man auf seinem Gerät eingeloggt ist.
[Update]
Apple hat sich in einer Art Frage-Antwort-Katalog zum Thema XcodeGhost geäussert. Der auf chinesisch und englisch veröffentlichte Text gibt im Allgemeinen die folgenden Informationen wieder:
Auf die Frage, was die Bedrohung durch Xcode-Ghost bedeuten würde, empfahl Apple den Entwicklern erst einmal natürlich die Nutzung der auf ihren Portalen angebotenen Tools. Einige Entwickler hätten jedoch eine mit Schadsoftware kompromittierte Version von nicht-Apple-Websites herunter geladen. Beim Erstellen von Apps mit diesem gefälschten Tool hat sich die Schadsoftware dann an die jeweiligen Apps geheftet. Apple nutzt den Gatekeeper, um die Installation von nicht-signierter Software auf den OS X-Systemen zu verhindern.
Die in den App Store befindlichen Apps sind zudem mit einem Code signiert, welcher einen Schutz vor Fälschungen bieten soll. Beim Download von der Apple-Developer-Homepage soll der Code ebenso automatisch angehängt und vom Zielsystem validiert werden, sofern Gatekeeper nicht deaktiviert wurde. Die infizierten Versionen von XcodeGhost, so setzt Apple voraus, wurden demnach von Drittseiten mit deaktivierter Sicherheitsvorkehrung installiert. Apple beantwortet die Frage, wieso Entwickler ihre Kunden durch “gefälschte Versionen” in Gefahr brächten damit, dass die Entwickler auf nicht-Apple-Websites zrückgreifen, um so schneller an die Entwickler-Tools zu gelangen.
Auf die Frage, ob und woran man denn merkt, ob sein Gerät auch betroffen ist, antwortet Apple mit dem Hinweis, dass der Schadcode weder Kunden- noch andere sensible Daten vom Gerät oder aus der iCloud stehlen konnte. Es sei nur möglich gewesen, Informationen über die App selbst und über einige wenige Systeminformationen (wie zum Beispiel das iPhone-Modell oder die iOS-Version) zu erlangen.
Apple gibt an, die Sicherheit der Downloads aus dem App Store weiterhin zu gewährleisten, weil sämtliche infizierte Apps mittlerweile entfernt worden seien und eine Neuinfektion durch ein Blocken der Schadsoftware ausgeschlossen sei. Zudem würden durch die enge Zusammenarbeit mit den Entwicklern zeitnah Updates der betroffenen Apps frei von Schadsoftware veröffentlicht werden.
Kunden, die eine infizierte App geladen hatten, sollen eine Meldung erhalten, sobald ein Entwickler-Update für diese herausgebracht wird, damit sie die neueste Version installieren können und somit auf die App nicht verzichten brauchen. Apple kündigt zudem an, eine Liste der Top 25 der am häufigsten genutzten und kompromittierten Apps herausgeben zu wollen, damit die Nutzer prüfen können, ob sie bereits die neueste Version installiert haben. Diese Liste der 25 am häufigsten genutzten Apps soll die insgesamt durch Infektionen betroffene Nutzerzahl bereits enorm einschränken.
Apple verspricht den chinesischen Entwicklern außerdem eine schnellere Bereitstellung des Xcode-Tools und bietet ihnen eine Anleitung zur Prüfung ihrer Version auf Echtheit auf einer Extra-Seite an.
