Anzeige

App SchiffUnit 42, das Forschungszentrum von Palo Alto Networks hat eine App identifiziert, die erfolgreich die Codeüberprüfung von iOS umgeht.

Somit besteht ein neues Sicherheitsrisiko, da einige kriminelle Techniken verwendet werden, die bislang noch nicht beobachtet wurden. Der offizielle iOS App Store von Apple ist bekannt für seine strenge Codeüberprüfung jeder App, die von Entwicklern eingereicht wird. Diese restriktive Politik ist einer der wichtigsten Mechanismen im iOS-Sicherheitssystem, um die Privatsphäre und Sicherheit von iOS-Benutzern zu gewährleisten. Dennoch entdeckte Unit 42 nun eine App, die neue Wege nutzte, um Apples Code-Review erfolgreich zu umgehen.

Die App ist ein komplexer, voll funktionsfähiger Drittanbieter-App-Store-Client für iOS-Nutzer in der Volksrepublik China. Die Originalbezeichnung der App, übersetzt ins Englische, lautet „Happy Daily English“. Unit 42 hat zudem von Unternehmen signierte Versionen dieser Anwendung an anderer Stelle in freier Wildbahn entdeckt. Obwohl keine schädlichen Funktionen in dieser App identifiziert wurden, hat Palo Alto Networks die App als Riskware eingestuft und ZergHelper getauft.

Durch ZergHelper gehen verschiedene Sicherheitsrisiken für iOS-Nutzer hervor, unter anderem:

  • Die Riskware bietet die Installation von modifizierten Versionen von iOS-Apps an, deren Sicherheit nicht gewährleistet ist.
  • Sie verletzt Unternehmenszertifikate und persönliche Zertifikate, um Anwendungen anzumelden und zu teilen, die nicht überprüften Code enthalten können, oder um private APIs zu missbrauchen.
  • Sie fordert Benutzer zur Eingabe einer Apple-ID auf und teilt auch einige Apple-IDs. ZergHelper nutzt die IDs, um sich an einem Apple-Server anzumelden und Operationen im Hintergrund auszuführen.
  • Der Autor versucht, seine Fähigkeiten über dynamische Aktualisierung seines Codes zu erweitern, um so weitere iOS-Sicherheitseinschränkungen zu umgehen.
  • Die Riskware verwendet einige neue Techniken, die sensibel und riskant sind. Diese Techniken könnten von anderer Malware verwendet werden, um das iOS-Ökosystem anzugreifen.

ZergHelper weist unterschiedliche Verhaltensweisen für Benutzer von unterschiedlichen Standorten auf. Für Nutzer außerhalb Chinas soll der Eindruck einer App zum Englischlernen erweckt werden. Wird auf die App von China aus zugegriffen, erscheinen die realen Funktionen. ZergHelpers Hauptfunktionalität scheint die Bereitstellung eines App Store zu sein, der Raubkopien und geknackte iOS-Apps und -Spiele anbietet. Die App wurde von einer Firma in China entwickelt, die ihr Hauptprodukt „XY Helper“ nennt. ZergHelper ist die „nicht-jailbroken“ und „offizielle“ App-Store-Version dieses Produkts.

Zusätzlich zum Missbrauch von Unternehmenszertifikaten, verwendet diese Riskware einige neuartige Ansätze, um Apps auf nicht-jailbroken-Geräten zu installieren. Sie hat eine kleine Version von Apples iTunes-Client für Windows neu implementiert, für den Login und den Erwerb und Download von Apps. Ebenfalls implementiert sind einige Funktionen von Apples Xcode IDE, um automatisch kostenfreie persönliche Entwicklungszertifikate zu generieren und Apps in iOS-Geräten anzumelden. Dies bedeutet, dass der Angreifer Apples proprietäre Protokolle analysiert hat und das neue Entwicklerprogramm missbraucht, das Apple vor acht Monaten eingeführt hatte. ZergHelper teilt auch einige gültige Apple-IDs mit den Nutzern, so dass sie nicht ihre eigenen IDs verwenden müssen.

Der ZergHelper Code ist komplex und es ist noch unklar, ob die Riskware Kontoinformationen stehlen würde und an den Server zurücksenden würde. Die App sendet einige Geräteinformationen automatisch an einen Server, für statistische Tracking-Zwecke. ZergHelper kann aus der Ferne aktualisiert werden, ohne eine weitere Überprüfung durch Apple. Unit 42 hat auch über 50 ZergHelper-Apps identifiziert, die von Unternehmenszertifikaten signiert sind. Diese Anwendungen wurden von den Autoren in verschiedenen Kanälen verbreitet.

iOS-Nutzer, die „Happy Daily English“ aus dem App Store installiert haben oder „XY Helper“ auf ihren Geräten vorfinden, rät Unit 42, es zu deinstallieren. Unit 42 schlägt außerdem vor, die Profile in iOS-Geräten zu überprüfen (unter Einstellungen > Allgemein > Profile & Gerätemanagement). Wenn dort irgendein Profil von „xyzs.com“ erscheint, sollte dieses sofort gelöscht werden.

Apple hat die verdächtige App aus dem App Store entfernt, nachdem Palo Alto Networks am 19. Februar das Unternehmen auf die riskante App hingewiesen hat.

Weitere Informationen um die aktuelle Entdeckung in Sachen Cybersicherheit finden Sie hier.
 


Weitere Artikel

Login

Sichere Logins: Das wünschen sich die Nutzer

Immer mehr Waren und Dienstleistungen werden online gekauft. Nutzer legen dabei Wert auf bequeme Bedienung und hohen Datenschutz. Wie lässt sich beides am besten vereinbaren?
Smart-eID: Online-Ausweis

Digital ausweisen mit dem Online-Ausweis auf dem Smartphone

Ab Winter können sich Bürgerinnen und Bürger direkt über ihr kompatibles Samsung Galaxy Smartphone ausweisen und ausgewählte Behördengänge erledigen – eine komfortable und intuitive Ergänzung zur bisherigen elektronischen Identifizierung mittels haptischem…
Mobile Security

Smartphone-Sicherheit: Datenklau und Ransomware sind größte Gefahren

Das SANS Institute, eine der weltweit renommiertesten und größten Schulungs- und Zertifizierungsorganisationen rund um das Thema Informationssicherheit, stellt die Ergebnisse des aktuellen Reports über die sichere Nutzung von Mobilgeräten vor. Der Report…
Smartphone

Wie kann man die Sperrfunktion des Smartphones umgehen?

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität.
Digital Wallet

Das Datenschutz-Fiasko mit der ID Wallet-App

Spätestens im Zuge der Corona-Pandemie und den neuen Homeoffice-Regelungen ist klar geworden: Deutschland muss digitaler werden. Der Bund hat nun mit der ID Wallet-App einen kleinen Schritt in die Zukunft gewagt – und ist krachend gescheitert.
Mobile Security

Schlechte Integration macht Vorteile mobiler Technologien zunichte

Die neue globale Studie „A Defining Year: State of Mobility 2021 Report“ des IoT- und Mobile-Management-Experten SOTI zeigt: Die unzureichende Integration mobiler Technologien in die firmeneigene IT-Infrastruktur schwächt Unternehmen in einem offenbar…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.