Sicherheitslücke ermöglicht unbemerkte Angriffe auf iOS-Geräte

FireEye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, hat im November 2014 die schwerwiegende Sicherheitslücke „Masque Attack“ im Betriebssystem iOS entdeckt. Die Sicherheitslücke erlaubte Angreifern, legitime Apps auf iOS-Geräten durch schädliche Anwendungen zu ersetzen. Dazu mussten Nutzer lediglich dazu verleitet werden, manipulierte Links in SMS, E-Mails oder mobilem Internetbrowser zu öffnen.

FireEye hat Apple über weitere Sicherheitslücken informiert, bei denen Masque Attacks auf vier verschiedene Arten zum Einsatz kommen. Die Sicherheitslücke „Masque Attack II” wurde nun mit dem jüngsten iOS 8.1.3 Security Content Update von Apple weitgehend geschlossen.

Mit Masque Attack II lassen sich der Warnhinweis „nicht vertrauenswürdiger App-Entwickler” umgehen und falsche IOS-URL-Schemen verwenden Mit dem jüngsten Sicherheitsupdate von Apple konnte das Umgehen des Warnhinweises unterbunden werden. Die Umleitung auf ein falsches iOS-URL-Schema konnte bisher nicht verhindert werden.

Umgehung des Warnhinweises „nicht vertrauenswürdiger App-Entwickler”

Wenn ein iOS-Nutzer eine App mit dem Gerät bisher unbekannter Signatur zum ersten Mal öffnet, wird er per Push-Up-Nachricht gefragt, ob er dem Entwickler „vertraut“. Solange der Nutzer nicht bestätigt, wird die App nicht gestartet. Apple riet zum Schutz vor Masque Attacks im November, diese Meldungen mit „nicht vertrauen“ zu beantworten. FireEye hat Apple nun darauf hingewiesen, dass diese Maßnahme keinen zuverlässigen Schutz bietet.

Der Warnhinweis kann nach Erkenntnissen von FireEye durch eine Sicherheitslücke umgangen werden. Wenn ein iOS-URL-Schema aufgerufen wird, starten manche dieser Anwendungen, ohne einen entsprechenden Warnhinweis anzuzeigen. Dabei ist es irrelevant, ob die App schon einmal zuvor aufgerufen wurde. Auch, wenn der Nutzer zuvor mit „nicht vertrauen“ reagierte, startet iOS Apps mit unbekannter Signatur unmittelbar nach dem Aufrufen eines URL-Schemas. Mit anderen Worten: Wenn der Nutzer auf einen manipulierten Link in einer SMS oder E-Mail klickt, startet die auf dem Gerät installierte App, ohne nach der Freigabe des Nutzers zu Fragen und ignoriert sogar vorheriges Ablehnen durch den Nutzer. Angreifer können diesen Umstand nutzen, um eine manipulierte App per Masque Attack zu starten.

Bei der Programmierung von Malware, die App-URL-Schemen beliebter Apps verwendet, könnte ein Angreifer auch die Nutzeroberfläche so gestalten, dass sie unbemerkt Phishing-Angriffe durchführt. So wäre es dem Angreifer beispielsweise möglich, an wichtige Login-Daten zu gelangen.

Dieser Bug wurde bei den iOS-Versionen 7.1.2, 8.1.1, 8.1.2 und 8.2 beta festgestellt. Apple hat ihn kürzlich für die aktuelle Version iOS 8.1.3 geschlossen. Laut einer Erhebung des App Stores vom 2. Februar 2015 verwenden 28 Prozent der Geräte ältere iOS-Versionen (iOS 7 oder niedriger), die nach wie vor auf diese Weise angreifbar sind. Auch die 72 Prozent der Geräte, die iOS 8 verwenden, sind gefährdet, wenn sie eine ältere Version als iOS 8.1.3 verwenden. FireEye rät Nutzern älterer iOS-Versionen zu einem baldigen Upgrade.

Missbrauch von URL-Schemen

Auf den ersten Blick erscheint die Verwendung desselben URL-Schemas durch unterschiedliche Apps als absichtliches Feature des iOS App Stores, um Entwicklern das Teilen der URL-Schemen zu ermöglichen. Doch auch namhafte Apps teilen ihr URL-Schema mit anderen, unbekannteren Apps. So hat FireEye insgesamt 28 Apps im App Store entdeckt, die das URL-Schema „fb://” der Facebook-App verwenden. Nur 16 von ihnen wurden von Facebook selbst veröffentlicht. Das URL-Schema „fb118493188254996” wird sogar von mindestens 8.048 Apps verschiedener Entwickler im App Store verwendet.

Angreifer haben dadurch die Möglichkeit, Malware mit dem URL-Schema einer legitimen App im App Store zu platzieren. Einmal auf ein Gerät gelangt, können sie die Nutzeroberfläche einer echten App dazu verwenden, Phishing-Angriffe durchzuführen und dadurch Daten abzufangen.

Fazit
Sowohl App Store als auch die iOS-Plattform erlauben Apps unterschiedlicher Entwickler nach wie vor, dieselben URL-Schemen zu verwenden. Das endgültige Schließen der dadurch entstandenen Sicherheitslücke könnte für Apple mit Schwierigkeiten verbunden sein. Darüber hinaus besteht weiterhin Gefährdung durch zwei weitere Arten der Masque Attacks, an deren Unterbindung Apple derzeit noch arbeitet.