Am Freitag, den 28. August 2015, haben wir über die Entdeckung des Hacks berichtet. Die Kollegen von Heise.de haben sich in einem Artikel diesem Thema ebenfalls angenommen und die Funktionsweise der Tweaks unter die Lupe genommen. 

 

Heise berichtet, dass es sich um mehr als 77 mit Malware infizierte Jailbreak-Tweaks und Raubkopien handelte, die anscheinend vorwiegend in China verteilt wurden. Weiter erwähnen sie die Sicherheitsfirma Palo Alto, die über die Funktionsweise des Angriffs berichten. Auch einen Namen hat dieser Angriff bereits bekommen: Man nennt ihn “Key Raider”.

Wie funktioniert Key Raider?

Ein iOS-Gerät mit Jailbreak kann Apps und Funktionen nutzen, die den Nutzern sonst (unter anderem auch aus Sicherheitsgründen) verwehrt bleiben. Mit sogenannten “Tweaks” werden diese Funktionen freigeschaltet. Diese muss man installieren. Dabei ist die Quelle nicht immer sicher, wie man in diesem Fall sehen kann. So wurden anscheinend beliebte Tweaks mit Malware behaftet, die von den Benutzern zwar unbewusst, aber dennoch freiwillig installiert wurden. Hat man den infizierten Tweak erst aktiviert, wurde auch die Malware aktiv und konnte seiner “Arbeit” nachgehen.

Die Malware hat nach Aktivierung gezielt iCloud-IDs mitsamt Passwörter und sogar Krypto-Schlüssel und Zertifikate gestohlen, die für Apples Push-Dienst genutzt werden. Die Daten wurden aus dem iTunes Datenstrom des infizierten Gerätes abgefangen und an einen Server gesendet.

Insgesamt wurden so rund 225.000 Benutzerkonten von Nutzern aus China, Frankreich, Russland, Japan, England, den U.S.A., Kanada, Australien, Israel, Italien, Spanien, Singapur, Süd-Korea und auch aus Deutschland kompromittiert.

Wozu brauchen die Diebe die Daten?

Der Zweck des Diebstahls war anscheinend das Ermöglichen von zwei Jailbreak-Tweaks, mit dessen Hilfe die Benutzer kostenlos in Apples App Store einkaufen können sollen. Man muss sich das in etwa folgendermassen vorstellen: Der Nutzer eines jailbroken-iPhones installiert einen Tweak, mit dem man ohne zu bezahlen im originalen App Store von Apple einkaufen können soll. Den Rest macht ein Server, an den die geklauten ID´s gesendet wurden. Dieser verwendet die geklauten ID´s mit einem Man-in-the-middle-Verfahren, um diese als Zahlungsdaten zu verwenden und dem App Store vorzuhalten – Natürlich auf Kosten der kompromittierten Benutzerkonten. Sofern ein Account bereits gesperrt wurde, wurde automatisch die nächste ID genommen.

Wie groß ist der Schaden?

Palo Alto berichtet über eine Anzahl von bereits etwa 20.000 Downloads dieser “Einkaufs-Tweaks”.

Kidnapping des Gerätes:

Und es kommt noch schlimmer: Es wurde ausserdem noch eine weitere Eigenschaft von Key-Raider entdeckt, mit der ein iOS-Gerät durch das Ändern des PIN-Codes oder Gerätepasswortes gesperrt werden könnte. Anschliessend soll auf betroffenen Geräten ein Hinweis auf das Kidnapping erscheinen. Man könne das Gerät nur noch mit einer Geldzahlung wieder freischalten. Ob und in wie vielen Fällen dies tatsächlich passierte, ist derzeit noch unklar.

Laut Bericht von Heise.de hat Palo Alto Apple bereits informiert, die betroffenen iCloud-Accounts dürften mittlerweile gesperrt sein. Sicherheitslücken in iOS sollen nicht ausgenutzt worden sein. Es wurden laut Palo Alto ausschliesslich jailbroken-Devices ausgenutzt, auf denen die infizierten Tweaks mit allen Systemrechten installiert wurden.

Man kann immer wieder nur eindringlich vor dem jailbreaken, egal bei welchem System, warnen.

via Heise.de und Palo Alto
Danke an @echo.park für den Hinweis.