iOS-Sicherheitslücke hinter WireLurker aufgedeckt

Forscher haben Informationen zu einer ernsten iOS-Sicherheitslücke veröffentlicht, die für das Apple-Schadprogramm WireLurker verantwortlich ist.

Forscher haben nun Informationen veröffentlicht und an Apple weitergegeben, die die Sicherheitslücke beschreiben, die vom Schadprogramm WireLurker ausgenutzt wird, das iOS-Geräte infiziert, die per USB mit Mac-OS-X und Windows-Computern verbunden sind.

Die Sicherheitslücke wurde „Masque“ genannt, sie betrifft die Betriebssysteme iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 beta. Interessant ist, dass erste Berichte davon sprachen, dass das Schadprogramm nur iOS-Geräte per USB-Verbindung infizieren kann, doch Forscher von FireEye sagten gestern, dass der Masque-Fehler auch über SMS-Nachrichten und E-Mail ausnutzbar sei. Um Geräte per SMS oder E-Mail zu infizieren, muss der Angreifer sein Opfer aber dazu bringen, einen Link anzuklicken, der zu der schädlichen App führt.

Technisch gesehen, gibt Masque dem Angreifer die Möglichkeit, legitime iOS-Apps mit schädlichen auszutauschen, ohne dass der Anwender darüber informiert wird. Zum Teil hat die Sicherheitslücke mit einem Fehler in der Prüfung der Identität digitaler Zertifikate durch iOS zu tun, wenn Apps nicht vom Entwickler in den App Store hochgeladen werden. In diesem Fall hat iOS daher die WireLurker-Zertifikate, die legitim signiert waren, nicht als verdächtig markiert, obwohl ein unterschiedliches Zertifikat verwendet wurde, denn die schädliche App wurde direkt vom infizierten Computer oder Laptop auf das Handy des Opfers geladen. Deshalb kann WireLurker auch, anders als frühere iOS-Schädlinge, auch Smartphones infizieren, die nicht mit einem Jailbreak freigeschaltet worden sind.

Laut FireEye ist WireLurker das einzige In-the-Wild-Schadprogramm, das die Masque-Sicherheitslücke ausnutzt, allerdings wird es scheinbar in kriminellen Kreisen bereits verteilt. Die Masque-Lücke ist bisher nicht geschlossen. Jedoch hat Apple schnell reagiert und die von dem Schädling verwendeten Zertifikate ungültig gemacht.

Der Bedarf an Antivirus-Software für Mac-OS-X-Geräte kann nicht überbewertet werden.

Kurz nachdem die Sicherheitsfirma Palo Alto Networks in der letzten Woche den ersten Bericht zu WireLurker veröffentlicht hatte, haben die Hintermänner von WireLurker ihre Machenschaften eingestellt. Allerdings zielte der Schädling darauf ab, Windows– und Mac-Computer zu infizieren, wo er sich so lange ruhig verhält, bis ein iPhone oder iPod an den Computer angeschlossen wird. Dann sucht WireLurker auf dem verbundenen iOS-Gerät nach beliebten Apps. Findet er solche, deinstalliert der Schädling diese und ersetzt sie mit einem gefälschten, trojanisierten Exemplar. Klar ist bisher nicht, welche Daten das Schadprogramm stehlen sollte.

Die einzigen Anwender, die von WireLurker betroffen sein können, sind Nutzer, die die Meitu-Foto-App, die Taobao-Online-Auktions-App oder die AliPay-Zahlungs-App von einem chinesischen Drittanbieter-Marktplatz namens Maiyadu heruntergeladen haben.

Die Forscher von Palo Alto Networks sagen, dass 467 infizierte OS-X-Apps auf Maiyadi gefunden wurden, die bis zum 16. Oktober von über 100.000 Anwendern mehr als 350.000 Mal heruntergeladen worden sind. „Der Bedarf an Antivirus-Software für Mac-OS-X-Geräte kann nicht überbewertet werden“, so die Forscher von Kasperskys Global Research and Analysis Teams in einem Securelist-Artikel. „Nicht nur Ihr OS-X-Computer kann infiziert werden. WireLurker zeigt, wie eine Infizierung vom Mac auf Ihr iPhone überspringen kann. Das Gute ist, dass es viele Möglichkeiten gibt, Macs zu schützen, unter anderem auch unsere eigene Kaspersky Internet Security for Mac.“

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.