AceDeceiver ist ein Computer-Trojaner der darauf wartet, auf einem iOS-Endgerät eine App zum Abgreifen der iCloud-Zugangsdaten zu installieren. Für die Installation greift der Trojaner dabei nicht auf ein gestohlenes Enterprise-Zertifikat zurück, sondern nutzt eine Sicherheitslücke im DRM-System (Digital Rights Management) von Apple aus, um die Software über die kabelgebundene iTunes-Installation auf das iOS-Gerät auszurollen.
Foto: everything possible - shutterstock.com
Damit dem Trojaner dies gelingt, nutzt dieser eine weiterentwickelte, seit nun drei Jahren konzeptionell bekannte, Lücke aus. Durch den als "FairPlay Man-In-The-Middle"-Angriff bezeichneten Vorgang erwirbt der Computer-Trojaner eine speziell bereitgestellte App im Apple AppStore für das Opfer. Dadurch steht dem Trojaner eine App mit "gültigem" Installationspaket zur Verfügung. Mithilfe des iTunes-Protokolls wird diese App (per Kabel) auf das iOS-Gerät ausgerollt. Während dieses kompletten Vorgangs erfolgt keine Interaktion mit dem Opfer (Anwender).
Einmal auf dem Endgerät, versucht der Trojaner das Opfer dazu zu bringen, die Apple Anmeldedaten einzugeben um diese abzugreifen.
Wo ist das Problem?
Abgesehen davon, dass jeder die App aus dem Store ziehen kann und dazu nicht der Trojaner notwendig ist, ist es natürlich auf den ersten Blick beängstigend, dass so etwas im Hintergrund passieren kann.
Die auf dem iOS installierte App ist von Apple geprüft und für den AppStore freigegeben. Damit handelt es sich also weder um eine Enterprise App noch um eine App mit normalem Entwicklerzertifikat. Diese könnte durch das Entziehen der Gültigkeit der Entwicklerzertifikate deaktiviert werden.
Das verwendete Zertifikat ist von Apple selbst und kann von Apple nicht als ungültig klassifiziert werden. Selbst wenn Apple die App aus dem AppStore entfernt, gibt es keinen Weg die bereits Installierten Apps am Ausführen zu hindern.
Foto: paloaltonetworks.com
Wie kam die App in den AppStore ?
Wie jede App im AppStore musste die Trojaner-App durch die App-Store-Prüfung von Apple. Während man sich hier gerne einem zeitlichen Trick bedient, Funktionen erst ab einem bestimmten Datum in der Zukunft "scharf" zu schalten, sind die Entwickler dieser Maleware anders vorgegangen.
Die Maleware-App war für den chinesischen Raum entwickelt. Im vorliegenden Fall wurde die App in den USA eingereicht; hier hat die App keine schadhaften Versuche unternommen und erschien harmlos. Die spätere Ausweitung des Distributionsmarktes auf China brachte die App auf die Geräte der Opfer für den erwähnten Phishing-Angriff.
Bis diese App erkannt wurde, sind mehrere Monate vergangen und mehrere chinesische Apple Account abgefischt worden.
Was kann der Anwender tun ?
Um sich vor einem Missbrauch durch solche Phishing-Angriffe zu schützen, empfehle ich jedem iOS / OS X Anwender für alle seine Apple-IDs die zweistufigen Anmeldung zu aktiviert. Ab dann reichen Apple-ID und Kennwort für eine Anmeldung nicht mehr aus, da noch ein weiterer Aktivierungcode benötigt wird, der an eine bestimmte Telefonnummer oder ein als vertrautes Gerät gesendet wird.
Setzen Sie ferner auf die WiFi-Synchronisierung mit iTunes und versuchen Sie auf die Kabelverbindung zwischen Computer und iOS Endgerät zu verzichten.
Ist das wirklich ein iOS Trojaner?
Eine einfache Definitionen beschreibt einen Trojaner als eine Software, die heimlich auf Rechnern installiert wird, ohne dass der Nutzer das bemerkt. Dies lässt sich auf der PC- und der iOS-Seite definitiv bestätigen.
Der DRM-Hack ist in meinen Augen jedoch nur beschränkt ein solcher. DRM bezeichnet ein Verfahren zum Schutz von Urheber- und Verwertungsrechten durch die Kontrolle der Verbreitung digitaler Medien (Kopierschutz). Die Vertraulichkeit des DRM bleibt ungebrochen (Original aus dem Store), die Zertifikate bleiben unverändert und es wird keine neuer Code in die App geschleust. Falls also jemand denkt: "Super damit könnte das FBI das DRM knacken." Fehlanzeige!
Was sehr wohl der Fall ist, ist die Tatsache dass der Computer-Trojaner einen "Kaufprozess" auslöst und die App aus dem Store entgegennimmt. Das ist in der Tat ein enormes Problem und bricht diese Vertraulichkeitskette. Die Sicherheit (Verschlüsselung, App Container) bleibt auf iOS erhalten.
- Apple Configurator einrichten
Nach der Installation des Apple Configurator 2 können Sie iOS-Geräte verwalten und vereinheitlichen. - Apple Configurator einrichten
Über Blueprints steuern Sie Vorlagen, mit denen Sie Ihre iOS-Geräte im Unternehmen bereitstellen können. - Apple Configurator einrichten
Im Rahmen der Einrichtung erstellen Sie über einen Assistenten eine Konfiguration für iOS-Geräte, die wiederum an die iOS-Geräte verteilt wird. - Apple Configurator einrichten
Apple Configurator 2 erlaubt die Anbindung an einen MDM-Server. - Apple Configurator einrichten
Nach der Einrichtung eines Blueprints können Sie dieses an ein neues Apple-Gerät anbinden und anschließend konfigurieren. - Apple Configurator einrichten
Mit Profilen passen Sie die Einstellungen auf den iOS-Geräten an, denen Sie ein Blueprint zuweisen. - Apple Configurator einrichten
Mit dem Apple Configurator 2 können Sie auch die iOS-Version auf den angebundenen Geräten aktualisieren. - Apple Configurator einrichten
Mit dem Apple Configurator 2 können Sie auch Standardeinstellungen auf angebundenen Geräten wiederherstellen. - Apple Configurator einrichten
Die Einstellungen für WLANs können Sie über den Apple Configurator ebenfalls als Profil weitergeben. - Apple Configurator einrichten
Mit dem Apple Configurator 2 erhalten Sie auch einen Migrations-Assistenten, der bei der Aktualisierung auf eine neue Version hilft und Einstellungen der alten Version übernehmen kann.
Sturm im Wasserglas ?
Das ganze hat das Potenzial, uns mit einer neuen Gefahrenwelle zu überrollen. Im Hintergrund, ohne Kenntnis durch den Anwender, Apps installiert zu bekommen, ist nicht zu verachten. Dass die Apps es überhaupt erst in den AppStore geschafft haben, ist ein anderes Thema . Hier hoffe ich, dass Apple nachlegen wird.
Solange gilt: Nutzen Sie die zwei Faktor Autorisierung bei Apple und überlegen Sie sich, ob im Jahr 2016 das Nutzen einer physikalischen Verbindung (Kabel) anstelle von WiFi Sync eine erstrebenswerte Methode ist. (bw)