computerwoche.de

Mobile & Apps

Cisco Talos

iPhones per Zertifikat und MDM ausgespäht

18.07.2018
Von 
Stephan Wiesend schreibt für die Computerwoche als Experte zu den Themen Mac-OS, iOS, Software und Praxis. Nach Studium, Volontariat und Redakteursstelle bei dem Magazin Macwelt arbeitet er seit 2003 als freier Autor in München. Er schreibt regelmäßig für die Magazine Macwelt, iPhonewelt und iPadwelt.
Alle Posts des Autors Email:
Das Ausspähen der iPhones erfolgte mit Hilfe eines MDM-Systems, wie es Unternehmen verwenden.

Über ein so genanntes MDM-System wie die Open-Source-Lösung "mdm-server" kann ein Unternehmen die iOS-Geräte ihrer Angestellten verwalten, dazu gehört auch die Installation von Apps. Wie die Sicherheitsspezialisten von Cisco Talos berichten, nutzten jetzt in Indien Hackern die Open-Source-Lösung für das Ausspähen von 13 iPhones.

Ein solches Profil kann auch Angriffe auf ein iPhone ermöglichen
Ein solches Profil kann auch Angriffe auf ein iPhone ermöglichen
Foto:

Das ist eher ungewöhnlich: Um ein iPhone über einen solchen MDM-Server zu verwalten, muss zuvor ein so genanntes „Enrollment“ stattfinden, etwa die Installation eines Zertifikats auf dem iPhone. Dies muss der Nutzer eigens bestätigen, vermutlich gelang den Angreifern aber die Konfiguration per Social Engineering oder den direkten Zugriff auf die Geräte. So nutzte der Angreifer als Homepage die unverdächtig klingende Adresse ios-certificate-update.com.

Die Angreifer konnten dann über den Verwaltungsserver präparierte Versionen von insgesamt fünf Apps per Push auf den iPhones ihrer Opfer installieren, darunter WhatsApp und Telegram. Diese als Spyware fungierenden Versionen übertrugen daraufhin Daten wie SMS und Standortdaten an die Angreifer. Laut Talos handelte es sich um zwei verschiedene Server, die Angreifer stammen wohl ebenfalls aus Indien.

Bei der Registrierung der benötigten Zertifikate wurden zwar kroatische Namen und russische Adressen angegeben, dies ist laut Talos aber zur Verschleierung üblich und kein Hinweis auf die Herkunft. Verwendet wurde die Malware offenbar schon seit 2015, Ziel waren das Stehlen von SMS, Ortung und Sammeln von Informationen.

Laut Entdeckern setzt der Angriff aber in mehreren Schritten ausdrückliche Bestätigungen des Opfers für mehrere Aktionen voraus. Oft werde ein solcher Angriff deshalb von einem angeblichen Support-Anruf begleitet.

Unsere Meinung: Schutz gegen Social Engineering war schon immer ein Problem, offenbar gilt dies eben auch für iOS. Für die meisten iPhone-Benutzer sind Zertifikate ja außerdem völlig unbekannt. Ruft ein Unbekannter im Namen von Apple oder des Arbeitgebers an und fordert zum "Update" eines Zertifikats auf oder Installation einer Software auf, sollte aber jeder misstrauisch werden. (Macwelt)