Hintergründe zum Hype und Mythos eines iOS Trojaners

Trojaner AceDeceiver bricht iOS DRM

17.03.2016
Von   
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Palo Alto Networks, tätig im Bereich Enterprise Security, hat einen neuen Trojaner-Angriff identifiziert, bei dem ein Trojaner auf einem PC sich als Trojaner auf einem angeschlossenen iOS Gerät ausweiten kann. Sein Ziel ist es, die Apple-ID samt Passwort des Opfers abzugreifen.

AceDeceiver ist ein Computer-Trojaner der darauf wartet, auf einem iOS-Endgerät eine App zum Abgreifen der iCloud-Zugangsdaten zu installieren. Für die Installation greift der Trojaner dabei nicht auf ein gestohlenes Enterprise-Zertifikat zurück, sondern nutzt eine Sicherheitslücke im DRM-System (Digital Rights Management) von Apple aus, um die Software über die kabelgebundene iTunes-Installation auf das iOS-Gerät auszurollen.

Eine einfache Definitionen beschreibt einen Trojaner als eine Software, die heimlich auf Rechnern installiert wird, ohne dass der Nutzer das bemerkt.
Eine einfache Definitionen beschreibt einen Trojaner als eine Software, die heimlich auf Rechnern installiert wird, ohne dass der Nutzer das bemerkt.
Foto: everything possible - shutterstock.com

Damit dem Trojaner dies gelingt, nutzt dieser eine weiterentwickelte, seit nun drei Jahren konzeptionell bekannte, Lücke aus. Durch den als "FairPlay Man-In-The-Middle"-Angriff bezeichneten Vorgang erwirbt der Computer-Trojaner eine speziell bereitgestellte App im Apple AppStore für das Opfer. Dadurch steht dem Trojaner eine App mit "gültigem" Installationspaket zur Verfügung. Mithilfe des iTunes-Protokolls wird diese App (per Kabel) auf das iOS-Gerät ausgerollt. Während dieses kompletten Vorgangs erfolgt keine Interaktion mit dem Opfer (Anwender).

Einmal auf dem Endgerät, versucht der Trojaner das Opfer dazu zu bringen, die Apple Anmeldedaten einzugeben um diese abzugreifen.

Wo ist das Problem?

Abgesehen davon, dass jeder die App aus dem Store ziehen kann und dazu nicht der Trojaner notwendig ist, ist es natürlich auf den ersten Blick beängstigend, dass so etwas im Hintergrund passieren kann.
Die auf dem iOS installierte App ist von Apple geprüft und für den AppStore freigegeben. Damit handelt es sich also weder um eine Enterprise App noch um eine App mit normalem Entwicklerzertifikat. Diese könnte durch das Entziehen der Gültigkeit der Entwicklerzertifikate deaktiviert werden.

Das verwendete Zertifikat ist von Apple selbst und kann von Apple nicht als ungültig klassifiziert werden. Selbst wenn Apple die App aus dem AppStore entfernt, gibt es keinen Weg die bereits Installierten Apps am Ausführen zu hindern.

So kommt der Trojaner auf die iOS-Geräte
So kommt der Trojaner auf die iOS-Geräte
Foto: paloaltonetworks.com

Wie kam die App in den AppStore ?

Wie jede App im AppStore musste die Trojaner-App durch die App-Store-Prüfung von Apple. Während man sich hier gerne einem zeitlichen Trick bedient, Funktionen erst ab einem bestimmten Datum in der Zukunft "scharf" zu schalten, sind die Entwickler dieser Maleware anders vorgegangen.

Die Maleware-App war für den chinesischen Raum entwickelt. Im vorliegenden Fall wurde die App in den USA eingereicht; hier hat die App keine schadhaften Versuche unternommen und erschien harmlos. Die spätere Ausweitung des Distributionsmarktes auf China brachte die App auf die Geräte der Opfer für den erwähnten Phishing-Angriff.

Bis diese App erkannt wurde, sind mehrere Monate vergangen und mehrere chinesische Apple Account abgefischt worden.

Was kann der Anwender tun ?

Um sich vor einem Missbrauch durch solche Phishing-Angriffe zu schützen, empfehle ich jedem iOS / OS X Anwender für alle seine Apple-IDs die zweistufigen Anmeldung zu aktiviert. Ab dann reichen Apple-ID und Kennwort für eine Anmeldung nicht mehr aus, da noch ein weiterer Aktivierungcode benötigt wird, der an eine bestimmte Telefonnummer oder ein als vertrautes Gerät gesendet wird.

Setzen Sie ferner auf die WiFi-Synchronisierung mit iTunes und versuchen Sie auf die Kabelverbindung zwischen Computer und iOS Endgerät zu verzichten.

Ist das wirklich ein iOS Trojaner?

Eine einfache Definitionen beschreibt einen Trojaner als eine Software, die heimlich auf Rechnern installiert wird, ohne dass der Nutzer das bemerkt. Dies lässt sich auf der PC- und der iOS-Seite definitiv bestätigen.

Der DRM-Hack ist in meinen Augen jedoch nur beschränkt ein solcher. DRM bezeichnet ein Verfahren zum Schutz von Urheber- und Verwertungsrechten durch die Kontrolle der Verbreitung digitaler Medien (Kopierschutz). Die Vertraulichkeit des DRM bleibt ungebrochen (Original aus dem Store), die Zertifikate bleiben unverändert und es wird keine neuer Code in die App geschleust. Falls also jemand denkt: "Super damit könnte das FBI das DRM knacken." Fehlanzeige!

Was sehr wohl der Fall ist, ist die Tatsache dass der Computer-Trojaner einen "Kaufprozess" auslöst und die App aus dem Store entgegennimmt. Das ist in der Tat ein enormes Problem und bricht diese Vertraulichkeitskette. Die Sicherheit (Verschlüsselung, App Container) bleibt auf iOS erhalten.

Sturm im Wasserglas ?

Das ganze hat das Potenzial, uns mit einer neuen Gefahrenwelle zu überrollen. Im Hintergrund, ohne Kenntnis durch den Anwender, Apps installiert zu bekommen, ist nicht zu verachten. Dass die Apps es überhaupt erst in den AppStore geschafft haben, ist ein anderes Thema . Hier hoffe ich, dass Apple nachlegen wird.

Solange gilt: Nutzen Sie die zwei Faktor Autorisierung bei Apple und überlegen Sie sich, ob im Jahr 2016 das Nutzen einer physikalischen Verbindung (Kabel) anstelle von WiFi Sync eine erstrebenswerte Methode ist. (bw)