Apple iOS: Schädling für iPhones und iPads mit Jailbreak späht Passwörter aus

Der Schädling „Unflod Baby Panda“ liest auf einem Apple iPhone oder iPad mit Jailbreak die Apple ID samt zugehörigem Passwort des Anwenders aus und schickt die Daten an einen Server. Ein infiziertes iOS-Gerät muss möglicherweise zurückgesetzt werden, um den Schädling restlos zu entfernen.

Schadprogramme für Apple iPhones und iPads sind sehr selten. Bisher ist nur eine Malware bekannt, die es unentdeckt in Apples App Store geschafft hat. Wer sein iOS-Gerät allerdings per Jailbreak von seinen Fesseln befreit, hat auch Zugriff auf Programme, die nicht von Apple, sondern über alternative App-Stores angebotenen werden und Schadcode enthalten können. Beim Herunterladen von Apps aus Dritt-Anbieter-Stores ist daher stets Vorsicht geboten, denn Programme wie die aktuell entdeckte Schadsoftware „Unflod Baby Panda“ machen vermutlich häufiger die Runde als erwartet.

Apple iOS: Schädling für iPhones und iPads mit Jailbreak späht Passwörter aus

Der Schädling „Unflod Baby Panda“ liest auf einem Apple iPhone oder iPad mit Jailbreak die Apple ID samt zugehörigem Passwort des Anwenders aus und schickt die Daten an einen Server. Ein infiziertes iOS-Gerät muss möglicherweise zurückgesetzt werden, um den Schädling restlos zu entfernen (Bild: Jason Cipriani/CNET.com).

Der Schädling kann auf iPhones und iPads mit Root-Zugriff das Passwort des Anwenders auslesen und wurde von Reddit-Nutzern schon vor gut einer Woche entdeckt. In einem Beitrag weist ein Anwender auf eine Unflod.dylib hin, die verschiedene Apps wie Snapchat und Google Hangouts abstürzen lässt. Daraufhin untersuchte ein weiterer Reddit-Nutzer die Programmbibliothek und entdeckte, dass sie die Apple ID samt Passwort offenbar an eine chinesische Webseite sendet.

Der deutsche Sicherheitsforscher Stefan Esser hat die Malware nach eigenen Angaben noch etwas genauer unter die Lupe genommen. Bei seiner Analyse stellte er ebenfalls fest, dass das Schadprogramm die Apple ID und das zugehörige Passwort eines iOS-Geräts ausspäht und die Daten an einen Server eines US-Hostinganbieters versendet, der offenbar überwiegend chinesische Kunden bedient.

Esser zufolge wurde Unflod Baby Panda mit einem iPhone-Entwickler-Zertifikat signiert. Wie die Malware in Umlauf gebracht wurde, ist bisher nicht bekannt. Es wird vermutet, sie könnte über einen chinesischen App Store verbreitet worden sein. Im offiziellen Cydia-Store von Jay Freeman, der viele Tweaks und Programme für Jailbreaker anbietet, ist die Malware bisher nicht aufgetaucht.

Esser betont in seinem Blogbeitrag nochmals, dass diese Bedrohung nur für freigeschaltete iPhones existiert und die Signatur der Binärdatei nicht benötigt wird, damit die Malware funktioniert. Die Tatsache, dass sie noch da ist, könnte ein Flüchtigkeitsfehler oder eine Irreführung des Angreifers sein.

Der Code für Unflod Baby Panda sei nicht besonders komplex und die Datei an sich recht klein, ergänzte Esser. “Die Malware verbindet sich mit SSLWrite des Security.framework und durchsucht den Puffer nach bestimmten Zeichenfolgen, die auf eine Apple ID und das Passwort dafür hinweisen. Werden sie gefunden, versucht der Code eine Verbindung zum Port 7878 der IP-Adressen 23.88.10.4 und 23.228.204.55 aufzubauen, und die gestohlenen Daten im Klartext zu senden.”

Ein infiziertes Gerät muss möglicherweise zurückgesetzt werden, um den Schädling restlos zu entfernen. “Derzeit nimmt die Jailbreak-Community an, dass die Löschung der Binärdateien Unflod.dylib/framework.dylib und im Anschluss die Änderung des Passworts ausreichend ist”, heißt es weiter in Essers Blog. “Es ist allerdings noch nicht bekannt, wie die Bibliothek auf das Gerät gelangt ist und von daher ist auch nicht bekannt, ob es andere ‘Malware-Geschenke’ mitgebracht hat. Wir gehen deswegen davon aus, dass nur ein vollständiges Zurücksetzen die Malware entfernt, was auch einen Verlust des Jailbreak bedeutet.”

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Apple iOS: Schädling für iPhones und iPads mit Jailbreak späht Passwörter aus

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *