iPhone und iPad: Hacking Team hat gefälschte Apps eingeschleust

Masque-Attack-Apps wurden laut FireEye erstmals „in freier Wildbahn“ gesichtet und erlaubten auch Spähangriffe auf Geräte ohne Jailbreak. Vor allem Apps wie Facebook und Twitter sowie beliebte Messenger wie WhatsApp wurden für die Angriffe eingesetzt.

Um Nutzer von iPhones und iPads auszuspionieren, hat der italienische Spyware-Hersteller Hacking Team gefälschte Apps entwickelt. Dabei wurde eine im letzten Jahr entdeckte und eigentlich behobene Schwachstelle ausgenutzt, wie die Sicherheitsfirma FireEye berichtet. Demnach wurden Masque-Attack-Apps erstmals „in freier Wildbahn“ gesichtet und erlaubten auch erfolgreiche Spähangriffe auf Geräte, die nicht durch einen Jailbreak entsperrt waren. Informationen zu den Methoden waren aus den 400 GByte veröffentlichten Daten zu entnehmen, die Hacking Team abhanden kamen, als es selbst Opfer eines Einbruchs in sein Computersystem wurde.

ine gefälschte Facebook-App holt Berechtigungen ein (Bild: FireEye).

ine gefälschte Facebook-App holt Berechtigungen ein (Bild: FireEye).

Durch Reverse-Engineering konnten Doppelgänger-Apps geschaffen werden, die von den Originalen nicht zu unterscheiden waren. Sie kamen jedoch mit zusätzlichen Funktionen, um sensible Daten auf den Mobilgeräten auszuspähen und sie an einen entfernten Server zu übermitteln.

Vor allem beliebte Messenger und Social-Network-Apps wie Twitter, Facebook, Facebook Messenger, WeChat, Google Chrome, Viber, Blackberry Messenger, Skype, Telegram und VK wurden gefälscht. Da die Bundle-Identifier identisch sind mit denen der Originale in Apples App Store, können sie die echten Apps auf Geräten mit iOS-Version bis 8.1.3 unmittelbar ersetzen.

Dass die Bundle-Identifier durch die entfernten Angreifer veränderbar sind, kommt laut Fire Eye hinzu. Obwohl der Masque-Attack-Bug eigentlich gefixt wurde, soll es daher selbst bei Geräten mit aktuelleren Versionen des Mobilbetriebssystems als iOS 8.1.3 möglich sein, durch einen anderen und einmaligen Bundle-Identifier die Installation einer bösartigen App zu ermöglichen. Den Sicherheitsforschern zufolge können die schädlichen Doppelgänger-Apps vertraute Daten an die Angreifer senden, darunter Sprachmitschnitte von Skype, Textnachrichten von WhatsApp und Facebook Messenger, Browser-Verlauf, Anrufe, SMS-Inhalte, GPS-Daten und Fotos.

Die Masque-Attack-Schwachstelle machte es prinzipiell möglich, legitime Apps durch gefälschte Software zu ersetzen. Ein Angreifer musste einen Nutzer lediglich dazu verleiten, auf einen manipulierten Link in einer E-Mail oder Textnachricht zu klicken, die wiederum auf eine Seite mit dem App-Download verweist. Ist eine gefälschte App einmal installiert, die eine legitime Anwendung auf einem iOS-Gerät ersetzt, kann sie nicht nur deren Funktionen übernehmen, sondern auch auf die von ihr gespeicherten Daten zugreifen.

In den Hacking-Team-Dokumenten waren außerdem weitere Methoden zu finden, um persönliche Informationen aus Apps zu holen. Eine getarnte Anwendung könnte etwa als „Newsstand-ipa“ installiert und durch transparente Icons im Menü vor Entdeckung geschützt werden. Holt sie Zugriffsrechte ein, kann sie sensible Daten weitergeben – und dank einer Tastatur-Erweiterung zudem alle Eingaben des Nutzers.

„Das Sicherheitsrisiko bei Smartphones und Tablets wird nach wie vor unterschätzt“, mahnte FireEye-Manager Frank Kölmel. „Für Nutzer sind professionell durchgeführte, gezielte Cyberangriffe nur schwer zu bemerken, und so geben sie ungeahnt unzählige Informationen preis, ohne sich dessen bewusst zu sein.“

„Dank der von Hacking Team durchgesickerten Angriffswerkzeuge haben wir jetzt erlebt, wie fortgeschrittene und gezielte Attacken durchgeführt werden“, schreibt in einem Blogeintrag Zhaofeng Chen, einer der Sicherheitsforscher von FireEye. „Wir empfehlen allen iOS-Nutzern, ihre Geräte immer auf die neuste iOS-Version zu aktualisieren und genau darauf zu achten, woher sie ihre Apps beziehen.“

[Mit Material von Bernd Kling, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu iPhone und iPad: Hacking Team hat gefälschte Apps eingeschleust

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *