VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

App SchiffUnit 42, das Forschungszentrum von Palo Alto Networks hat eine App identifiziert, die erfolgreich die Codeüberprüfung von iOS umgeht.

Somit besteht ein neues Sicherheitsrisiko, da einige kriminelle Techniken verwendet werden, die bislang noch nicht beobachtet wurden. Der offizielle iOS App Store von Apple ist bekannt für seine strenge Codeüberprüfung jeder App, die von Entwicklern eingereicht wird. Diese restriktive Politik ist einer der wichtigsten Mechanismen im iOS-Sicherheitssystem, um die Privatsphäre und Sicherheit von iOS-Benutzern zu gewährleisten. Dennoch entdeckte Unit 42 nun eine App, die neue Wege nutzte, um Apples Code-Review erfolgreich zu umgehen.

Die App ist ein komplexer, voll funktionsfähiger Drittanbieter-App-Store-Client für iOS-Nutzer in der Volksrepublik China. Die Originalbezeichnung der App, übersetzt ins Englische, lautet „Happy Daily English“. Unit 42 hat zudem von Unternehmen signierte Versionen dieser Anwendung an anderer Stelle in freier Wildbahn entdeckt. Obwohl keine schädlichen Funktionen in dieser App identifiziert wurden, hat Palo Alto Networks die App als Riskware eingestuft und ZergHelper getauft.

Durch ZergHelper gehen verschiedene Sicherheitsrisiken für iOS-Nutzer hervor, unter anderem:

  • Die Riskware bietet die Installation von modifizierten Versionen von iOS-Apps an, deren Sicherheit nicht gewährleistet ist.
  • Sie verletzt Unternehmenszertifikate und persönliche Zertifikate, um Anwendungen anzumelden und zu teilen, die nicht überprüften Code enthalten können, oder um private APIs zu missbrauchen.
  • Sie fordert Benutzer zur Eingabe einer Apple-ID auf und teilt auch einige Apple-IDs. ZergHelper nutzt die IDs, um sich an einem Apple-Server anzumelden und Operationen im Hintergrund auszuführen.
  • Der Autor versucht, seine Fähigkeiten über dynamische Aktualisierung seines Codes zu erweitern, um so weitere iOS-Sicherheitseinschränkungen zu umgehen.
  • Die Riskware verwendet einige neue Techniken, die sensibel und riskant sind. Diese Techniken könnten von anderer Malware verwendet werden, um das iOS-Ökosystem anzugreifen.

ZergHelper weist unterschiedliche Verhaltensweisen für Benutzer von unterschiedlichen Standorten auf. Für Nutzer außerhalb Chinas soll der Eindruck einer App zum Englischlernen erweckt werden. Wird auf die App von China aus zugegriffen, erscheinen die realen Funktionen. ZergHelpers Hauptfunktionalität scheint die Bereitstellung eines App Store zu sein, der Raubkopien und geknackte iOS-Apps und -Spiele anbietet. Die App wurde von einer Firma in China entwickelt, die ihr Hauptprodukt „XY Helper“ nennt. ZergHelper ist die „nicht-jailbroken“ und „offizielle“ App-Store-Version dieses Produkts.

Zusätzlich zum Missbrauch von Unternehmenszertifikaten, verwendet diese Riskware einige neuartige Ansätze, um Apps auf nicht-jailbroken-Geräten zu installieren. Sie hat eine kleine Version von Apples iTunes-Client für Windows neu implementiert, für den Login und den Erwerb und Download von Apps. Ebenfalls implementiert sind einige Funktionen von Apples Xcode IDE, um automatisch kostenfreie persönliche Entwicklungszertifikate zu generieren und Apps in iOS-Geräten anzumelden. Dies bedeutet, dass der Angreifer Apples proprietäre Protokolle analysiert hat und das neue Entwicklerprogramm missbraucht, das Apple vor acht Monaten eingeführt hatte. ZergHelper teilt auch einige gültige Apple-IDs mit den Nutzern, so dass sie nicht ihre eigenen IDs verwenden müssen.

Der ZergHelper Code ist komplex und es ist noch unklar, ob die Riskware Kontoinformationen stehlen würde und an den Server zurücksenden würde. Die App sendet einige Geräteinformationen automatisch an einen Server, für statistische Tracking-Zwecke. ZergHelper kann aus der Ferne aktualisiert werden, ohne eine weitere Überprüfung durch Apple. Unit 42 hat auch über 50 ZergHelper-Apps identifiziert, die von Unternehmenszertifikaten signiert sind. Diese Anwendungen wurden von den Autoren in verschiedenen Kanälen verbreitet.

iOS-Nutzer, die „Happy Daily English“ aus dem App Store installiert haben oder „XY Helper“ auf ihren Geräten vorfinden, rät Unit 42, es zu deinstallieren. Unit 42 schlägt außerdem vor, die Profile in iOS-Geräten zu überprüfen (unter Einstellungen > Allgemein > Profile & Gerätemanagement). Wenn dort irgendein Profil von „xyzs.com“ erscheint, sollte dieses sofort gelöscht werden.

Apple hat die verdächtige App aus dem App Store entfernt, nachdem Palo Alto Networks am 19. Februar das Unternehmen auf die riskante App hingewiesen hat.

Weitere Informationen um die aktuelle Entdeckung in Sachen Cybersicherheit finden Sie hier.
 

GRID LIST
Mausefalle

HeroRat: Malware verwandelt Android-Smartphones in digitale Wanzen

Der europäische IT-Security-Hersteller ESET warnt vor der mobilen Malware HeroRat. Sie…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

ElcomSoft greift auf iOS-Schlüsselbund zu

ElcomSoft aktualisiert das iOS Forensic Toolkit (EIFT), ein mobiles, forensisches Tool…
Smartphone am Strand

Deutsche gehen im Urlaub unnötige Cyberrisiken ein

Fast 50 Prozent der Deutschen setzt im Urlaub in puncto Internetverbindung auf…
Adware

Android-Geräte mit vorinstallierter Schadsoftware ausgeliefert

Das Avast Threat Lab hat vorinstallierte Adware, also unerwünschte Apps, die den Nutzer…
Tb W190 H80 Crop Int 610cb99ef38bc6235588ec38ff894c78

Privatsphäre auf dem Handy - ist das heute noch möglich?

95,5 Prozent – so groß ist die Reichweite des Mobilfunks in Deutschland. Laut…
Tb W190 H80 Crop Int 547461fef9c006206fc7a53efe55f5d3

ZooPark: Android Cyberspionage verbreitet sich

Kaspersky Lab hat eine hochkomplexe Cyberspionage-Kampagne entdeckt, die seit mindestens…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security