Masque Attack: Sicherheitslücke in iOS lässt Ersetzen von Apps zu
Eine Sicherheitslücke in iOS ermöglicht das Ersetzen bereits installierter Apps durch boshafte Kopien. Die so eingeschleuste App kann anschließend die Daten der ursprünglichen App abgreifen (Phishing). Die Installation der boshaften App erfolgt abseits des App Store und erfordert, dass das Opfer eine Warnung abnickt.
Neben der üblichen Installation einer App aus dem offiziellen App Store sieht iOS auch die Installation von Apps aus anderen Quellen (z.B. Websites) vor. Dafür in Frage kommende Apps müssen mittels eines Enterprise-Zertifikats signiert worden sein, das Apple für 299 US-Dollar pro Jahr anbietet. Versieht ein Angreifer eine boshafte App mit einem solchen Zertifikat und verleitet das Opfer zu deren Installation, dann wird entgegen der Erwartung des Opfers keine neue App installiert, sondern es wird eine beliebige via App Store installierte Apps ersetzt und der Angreifer kann fortan auf deren Daten zugreifen.
Um die Sicherheitslücke auszunutzen, muss der Angreifer die boshafte App lediglich mit derselben ID (Bundle-Identifier) versehen wie die zu ersetzende App. iOS überprüft bei der Installation nicht, ob das vermeintliche App-Update von demselben Entwickler signiert wurde wie die installierte App – nur dann wäre es ein legitimes Update.
Den Entdeckern der Sicherheitslücke zu Folge kann der Angriff auch über USB oder das Heimnetzwerk erfolgen. Wer Apps konsequent nur aus dem offiziellen App Store installiert, hat jedoch nichts zu befürchten. Die von Apple vorinstallierten iOS-Apps sind gegen eine Ersetzung grundsätzlich immun.
In dem von FireEye gezeigten Angriffsszenario der sogenannten „Masque Attack“ besucht der Nutzer eine präparierte Webseite, die zur Installation einer mittels Enterprise-Zertifikat signierten App auffordert. Dem Nutzer wird ein Pop-Up-Fenster angezeigt, welches die Erlaubnis für die Installation erfragt. Besonders gefährlich: Mittels dieses Exploit lassen sich Banking- und Email-Apps so modifizieren, dass die Login-Daten an den Angreifer gesendet werden. Außerdem werden die lokalen Cache-Dateien bei der Installation der gefälschten App nicht gelöscht – der Angreifer kann so beispielsweise Zugriff auf Login-Tokens bekommen.
In China findet mit der Schadsoftware WireLuker bereits eine modifizierte Version der Masque Attack statt. Bereits Anfang Oktober wurde der Twitter-Client TweetBot so modifiziert dass er keine Werbung mehr anzeigte und anschließend mittels eines Enterprise-Zertifikats installiert. Die Sicherheitslücke wurde laut FireEye bereits am 26. Juli an Apple gemeldet. Betroffen sind iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 (Beta).