• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick
  • Auch in diesem Jahr möchten wir auf unserer Webseite mit einem passenden Banner etwas weihnachtliche Stimmung verbreiten. Jeder Apfeltalker kann, darf und sollte uns einen Banner-Entwurf zusenden, wie und wo das geht, könnt Ihr hier nachlesen --> Klick

Feature [Update] App Store: iOS-Malware infiziert über 500 Millionen Geräte

Mitglied 128076

Gast
Kein System ist sicher. Auch das von Apple nicht. Bisher hat die Vorgehensweise im App Store zumindest recht gut funktioniert, denn jede der dort zur Veröffentlichung angemeldeten iOS-Apps wurde vor der Freigabe von Apple geprüft. Nun haben es anscheinend einige mit Schadsoftware infizierte Apps geschafft, an Apples Torwächter vorbei zu kommen. Für die Sicherheitslücke ist eine modifizierte Version von Apples Entwicklerwerkzeug Xcode namens XcodeGhost verantwortlich.[PRBREAK][/PRBREAK]

13334048894_001d3e53d1_b.jpg

[h2]Infizierte Xcode-Version[/h2]
Der Ursprung des infizierten Tools scheint aus China zu stammen. Hier wurde das veränderte und bereits infizierte Tool zum Entwickeln von Apps genutzt, so dass sich die Malware beim kompilieren an die Apps heften konnte. Diese Malware scheint sich durch die Nutzung der modifizierten Version von Xcode anscheinend so zu tarnen, dass die damit entwickelten Apps durch Apples Sicherheitskontrollen ihren Weg in den App Store finden konnten. Entwickler dürften einen inoffiziellen Server für den Download von Xcode verwendet haben, da dieser höhere Downloadraten bot als die US-Server von Apple.

[h2]Betroffene Programme[/h2]
Die Anzahl der mit der Malware infizierten Apps soll unbestätigten Quellen zufolge mittlerweile auf über einhundert Apps angewachsen sein. Ein Großteil davon betrifft Programme, die vor allem im asiatischen Raum verbreitet sind. Manche der Apps dürften aber auch weltweit verwendet worden sein. Zu den infizierten Apps sollen unter anderem WinZip, der Videoplayer OPlayer HD und der Dokumentenscanner CamScanner Pro zählen, um die bekanntesten Namen aufzuzählen.

Beim am weitesten verbreiteten Programm dürfte es sich aber um den Instant-Messenger WeChat handeln. Die Chat-App wird weltweit von 600 Millionen Nutzern verwendet und hat sich im asiatischen Raum als beliebte WhatsApp-Alternative etabliert. Mit dem Update auf Version 6.2.6, das am 12. September veröffentlicht wurde, soll die Malware aber bereits aus WeChat entfernt worden sein.

[h2]Keine Hinweise auf Datenklau[/h2]
Nach Auskunft des Sicherheitsunternehmens Palo Alto Networks gebe es bisher keine Hinweise auf einen Datenklau, trotzdem sei der Vorfall "eine ziemlich große Sache". Die Malware soll prinzipiell in der Lage sein, gewisse Daten vom Gerät abzugreifen – darunter den Namen und den Identifier der infizierten App, Gerätenamen, Erkennungsnummer des Gerätes (UDID) und Netzwerktyp.

[h2]Phishing-Attacke möglich[/h2]
Außerdem sollen infizierte Apps über einen Befehl vom Server der Angreifer einen Eingabedialog zum Entwenden von Anmeldedaten anzeigen können und die Zwischenablage, in der etwa kopierte Passwörter von Passwortverwaltungs-Programmen liegen könnten, auslesen können. Die Webseite von Palo Alto Networks, auf der sich weitere Informationen zu dem Angriff befinden, ist derzeit nicht erreichbar.

[h2]Apple entfernt betroffene Apps[/h2]
Apple bestätigte den Angriff bereits gegenüber der New York Times, bekräftigte jedoch, die noch betroffenen Apps bereits aus dem App Store entfernt zu haben. Dennoch kann es durch das Herunterladen der Apps zu einer enorm hohen Anzahl von bereits infizierten Geräten gekommen sein – Palo Alto Networks geht von über 500 Millionen infizierten iOS-Geräten aus.

[h2]Was jetzt?[/h2]
Ob und wie man eine Infektion des eigenen Gerätes überprüfen kann ist derzeit noch nicht bekannt. Apple hat bislang noch keine Details hierzu veröffentlicht. MacRumors empfiehlt allen Nutzern der Programme in dieser Auflistung eine Deinstallation der betroffenen Apps und eine Änderung der Passwörter von iCloud, Apple-ID und sämtlichen anderen Diensten, mit denen man auf seinem Gerät eingeloggt ist.

[h2][Update] [/h2]
Apple hat sich in einer Art Frage-Antwort-Katalog zum Thema XcodeGhost geäussert. Der auf chinesisch und englisch veröffentlichte Text gibt im Allgemeinen die folgenden Informationen wieder:

Auf die Frage, was die Bedrohung durch Xcode-Ghost bedeuten würde, empfahl Apple den Entwicklern erst einmal natürlich die Nutzung der auf ihren Portalen angebotenen Tools. Einige Entwickler hätten jedoch eine mit Schadsoftware kompromittierte Version von nicht-Apple-Websites herunter geladen. Beim Erstellen von Apps mit diesem gefälschten Tool hat sich die Schadsoftware dann an die jeweiligen Apps geheftet. Apple nutzt den Gatekeeper, um die Installation von nicht-signierter Software auf den OS X-Systemen zu verhindern.

Die in den App Store befindlichen Apps sind zudem mit einem Code signiert, welcher einen Schutz vor Fälschungen bieten soll. Beim Download von der Apple-Developer-Homepage soll der Code ebenso automatisch angehängt und vom Zielsystem validiert werden, sofern Gatekeeper nicht deaktiviert wurde. Die infizierten Versionen von XcodeGhost, so setzt Apple voraus, wurden demnach von Drittseiten mit deaktivierter Sicherheitsvorkehrung installiert. Apple beantwortet die Frage, wieso Entwickler ihre Kunden durch "gefälschte Versionen" in Gefahr brächten damit, dass die Entwickler auf nicht-Apple-Websites zrückgreifen, um so schneller an die Entwickler-Tools zu gelangen.

Auf die Frage, ob und woran man denn merkt, ob sein Gerät auch betroffen ist, antwortet Apple mit dem Hinweis, dass der Schadcode weder Kunden- noch andere sensible Daten vom Gerät oder aus der iCloud stehlen konnte. Es sei nur möglich gewesen, Informationen über die App selbst und über einige wenige Systeminformationen (wie zum Beispiel das iPhone-Modell oder die iOS-Version) zu erlangen.

Apple gibt an, die Sicherheit der Downloads aus dem App Store weiterhin zu gewährleisten, weil sämtliche infizierte Apps mittlerweile entfernt worden seien und eine Neuinfektion durch ein Blocken der Schadsoftware ausgeschlossen sei. Zudem würden durch die enge Zusammenarbeit mit den Entwicklern zeitnah Updates der betroffenen Apps frei von Schadsoftware veröffentlicht werden.

Kunden, die eine infizierte App geladen hatten, sollen eine Meldung erhalten, sobald ein Entwickler-Update für diese herausgebracht wird, damit sie die neueste Version installieren können und somit auf die App nicht verzichten brauchen. Apple kündigt zudem an, eine Liste der Top 25 der am häufigsten genutzten und kompromittierten Apps herausgeben zu wollen, damit die Nutzer prüfen können, ob sie bereits die neueste Version installiert haben. Diese Liste der 25 am häufigsten genutzten Apps soll die insgesamt durch Infektionen betroffene Nutzerzahl bereits enorm einschränken.

Apple verspricht den chinesischen Entwicklern außerdem eine schnellere Bereitstellung des Xcode-Tools und bietet ihnen eine Anleitung zur Prüfung ihrer Version auf Echtheit auf einer Extra-Seite an.

Bild: flickr
Via Reuters, re/code & MacRumors
Vielen Dank für die zahlreichen Hinweise aus der Community!
 
Zuletzt bearbeitet von einem Moderator:

krypto

Damasonrenette
Registriert
31.08.05
Beiträge
490
Da ist außer den PDF Geschichten mal nichts wirklich bekanntes dabei oder?
 
  • Like
Reaktionen: Yiruma

Eraneva

Ontario
Registriert
13.06.12
Beiträge
341
Oh je , ziemlich peinlich für Apple ! Von wegen "sicher"
 

RudolfGottfried

Schöner von Nordhausen
Registriert
13.03.11
Beiträge
316
Wie? Ganz ohne Jailbreak? Schade, dann bleiben die amüsanten, hämischen Kommentare diesmal wohl aus. :(
Offensichtlich nicht.
Oh je , ziemlich peinlich für Apple ! Von wegen "sicher"
Quatsch, peinlich ist das nur für diejenigen Entwickler, die ihre Werkzeuge aus irgendwelchen obskuren Ecken im Internet laden. Apple ist ebensowenig wie alle anderen Store-Betreiber in der Lage, jede Software bis auf Binärebene zu prüfen.
Oliver Bergmann schrieb:
iOS-Malware infiziert über 500 Millionen Geräte
Sagt wer? Ah ja, genau Palo Alto Networks. Allerdings war in deren Aussage noch ein klitzekleiner Konjunktiv enthalden, wenn ich mich recht erinnere. ;)
 
Zuletzt bearbeitet:

markthenerd

Cellini
Registriert
26.08.06
Beiträge
8.746
Hochmut kommt vor dem Fall.

PS: Wieso "gegen" Android?

Leben und leben lassen.
 

landplage

Admin
AT Administration
Registriert
06.02.05
Beiträge
23.685
Und wieder ein K.O.-Argument gegen Android futsch (»Die Apps im Appstore werden alle penibelst geprüft«) pffff
Wie kann man das bei der Prüfung erkennen?
Die Malware soll prinzipiell in der Lage sein, gewisse Daten vom Gerät abzugreifen – darunter den Namen und den Identifier der infizierten App, Gerätenamen, Erkennungsnummer des Gerätes (UDID) und Netzwerktyp.
Das sind ja Funktionen, die volle andere Programme auch aufweisen.
 
  • Like
Reaktionen: rootie

ullistein

Sonnenwirtsapfel
Registriert
28.12.10
Beiträge
2.412
Verdammt, Mercury nutze ich seit einiger Zeit als Alternativbrowser. Der liegt aber noch im Appstore vor?

Jetzt müsste man wissen, welche Versionen betroffen sind.
 

Marcel Bresink

Filippas Apfel
Registriert
28.05.04
Beiträge
8.899
Das tieferliegende Problem ist, dass das, was Apple als "sicher" bezeichnet und das, was die meisten Anwender in diesen Begriff hineininterpretieren, zwei völlig unterschiedliche Dinge sind.

Der Freigabeprozess in den App Stores stellt in erste Linie sicher, dass eine App nichts tut, was Apple inhaltlich nicht passt, z.B. das Nachahmen von Apple-Produkten, die Nennung von Android oder das Zeigen nackter Haut. Alles andere wird kaum getestet und kann auch nicht wirklich getestet werden. Darum muss sich später die Sandbox kümmern, wenn die App läuft.

Per HTTP Daten auszutauschen oder irreführende Dialoge anzuzeigen, kann im Prinzip jede App. Dazu muss man auch nichts "tarnen". Deshalb wird sich das durch eine angebliche "Sicherheits"-Prüfung durch Apple nicht verhindern lassen, auch wenn sich das viele Anwender so vorstellen.
 

SilverPaddel

Rheinischer Krummstiel
Registriert
08.02.15
Beiträge
377
hm, WinZIP free habe ich auf meinem iPhone:confused:. Aber schon länger nicht benutzt. Weiß aber nicht mehr wann das letzte Update rauskam. Habs jetzt mal entfernt. Und jetzt? :confused:
 

iStationär

Russet-Nonpareil
Registriert
11.04.10
Beiträge
3.764
Gut die Apps werden bei sehr wenigen in Europa oder Amerika installiert sein. Aber allein das sie es in den AppStore + Malware geschafft haben gibt doch etwas zu denken auf.
Schade. Ich hoffe Apple lernt draus.
 

RudolfGottfried

Schöner von Nordhausen
Registriert
13.03.11
Beiträge
316
Gut die Apps werden bei sehr wenigen in Europa oder Amerika installiert sein. Aber allein das sie es in den AppStore + Malware geschafft haben gibt doch etwas zu denken auf.
Schade. Ich hoffe Apple lernt draus.
Das nicht gelesen?
Das tieferliegende Problem ist, dass das, was Apple als "sicher" bezeichnet und das, was die meisten Anwender in diesen Begriff hineininterpretieren, zwei völlig unterschiedliche Dinge sind.

Der Freigabeprozess in den App Stores stellt in erste Linie sicher, dass eine App nichts tut, was Apple inhaltlich nicht passt, z.B. das Nachahmen von Apple-Produkten, die Nennung von Android oder das Zeigen nackter Haut. Alles andere wird kaum getestet und kann auch nicht wirklich getestet werden. Darum muss sich später die Sandbox kümmern, wenn die App läuft.

Per HTTP Daten auszutauschen oder irreführende Dialoge anzuzeigen, kann im Prinzip jede App. Dazu muss man auch nichts "tarnen". Deshalb wird sich das durch eine angebliche "Sicherheits"-Prüfung durch Apple nicht verhindern lassen, auch wenn sich das viele Anwender so vorstellen.
 
  • Like
Reaktionen: Kaiusch

Svandolf

Normande
Registriert
16.05.10
Beiträge
575
Bei mir geht der Link zu Macrumors nicht...kann man die vollständige Liste hier veröffentlichen?