Dipl.-Inform. Carsten Eilers

Am 5. November wurde im Palo Alto Networks Blog ein Whitepaper zu einem neuen Angriff auf Mac OS X und iOS angekündigt: WireLurker. Der Angriff besteht aus zwei Komponenten: Einem Schädling für Mac OS X, der dann auf einem über USB angeschlossenen iOS-Gerät einen Schädling für iOS installiert. Zusätzliche Informationen liefert Jonathan Zdziarski, der den Schädling ebenfalls untersucht hat (und der auch das Whitepaper direkt verlinkt). Kurz nach der Veröffentlichung des Whitepapers wurde auch eine Windows-Version des Mac-Schädlings entdeckt.

Fazit: Wie gefährlich ist WireLurker?

Die drei Zwischenfazits in den Beschreibungen der Angriffe auf Mac OS X (und Windows) und iOS dürften schon klar gemacht haben, wohin die Reise geht: Die Gefahr durch WireLurker wird in den Medien und von Palo Alto Networks ziemlich aufgebauscht. Bei Kaspersky fordert man gleich mal wieder die Freigabe von Virenscannern im App Store für iOS, ohne zu bedenken, dass die nur eine zusätzliche Angriffsfläche bieten würden. Und sogar eine sehr attraktive, denn um alle Programme überwachten zu können müssten sie auf alle Sandboxen zugreifen können. Und damit das bewährte Sicherheitskonzept von iOS unterlaufen. Sehr viel besser finde ich dagegen die Reaktion von Trend Micro. Denn da hat man die Ursache des WireLurker-Angriffs sehr gut erkannt. Es sitzt vor dem Rechner oder hält das iOS-Gerät in der Hand: Der Benutzer, oder genauer, dessen unsicheres Verhalten, macht den Angriff erst möglich. Und dagegen hilft kein Virenscanner. Denn der würde dann vom Benutzer sicher als erstes ausgeschaltet. Oder vom Schadcode lahmgelegt oder sogar für die eigenen Zwecke missbraucht.

Betrachten wir das Ganze mal der Reihe nach:

1. WireLurker ist tot. Die trojanisierten Anwendungen werden von Apples eigenen Virenscanner für Mac OS X blockiert, das missbrauchte Enterprise-Zertifikat wurde widerrufen, der C&C-Server aus dem Verkehr gezogen.
2. Es wurde keine einzige neue Schwachstelle verwendet:
   • Auf dem Mac wurde der Schädling als trojanisierte Raubkopie eingeschleust. Das ist ein uraltes Problem, das man ganz einfach lösen kann, indem man keine Raubkopien installiert. Was man ja sowieso nicht machen sollte.
   • Auf iOS-Geräten mit Jailbreak kann man alles installieren. Auch Schadsoftware. Das ist ebenfalls nichts Neues, diese Geräte wurde und werden immer wieder angegriffen.
   • Auf iOS-Geräten wurden Apps über ein Enterprise-Zertifikat samt zugehörigen Provisioning Profile installiert. Das soll genau so funktionieren, dafür sind diese Zertifikate und Profile ja da. Auch die Möglichkeit eines Missbrauchs dieser Funktion ist schon seit langem bekannt. Nachdem der Missbrauch bekannt wurde, hat Apple das Zertifikat sofort widerrufen. Auch das soll genau so funktionieren. Außerdem wird der Benutzer beim ersten Start einer so installierten App um seine Zustimmung gebeten, und die App läuft wie alle anderen Apps auch in ihrer eigenen Sandbox. Also alles im grünen Bereich.
3. WireLurker hat die möglichen Folgen eines Angriffs verdeutlicht. Apple wäre gut beraten, daraufhin einige Änderungen an iOS vorzunehmen, zum Beispiel wie von Jonathan Zdziarski vorgeschlagen den Dialog vor dem Start von nicht von Apple signierten Apps zu verbessern, die Installation von Apps über ein Enterprise-Zertifikat nur in einem speziellen "Unternehmens-Modus" zu erlauben und die Pairing-Einträge besser vor Missbrauch zu schützen. Damit würde zukünftigen Angriffen nach dem Muster von WireLurker ein Riegel vorgeschoben.

Zumindest potentiell deutlich gefährlicher als WireLurker ist der von FireEye entdeckte Masque-Angriff, auf den ich in der nächsten Folge eingehen werden. Oder die Schwachstellen, die im Rahmen des Mobile Pwn2Own Wettbewerbs für Angriffe auf iOS genutzt wurden. Denn die hätte ja statt des Sicherheitsforschers auch ein Cyberkrimineller entdecken und ausnutzen können.

Carsten Eilers