Dipl.-Inform. Carsten Eilers

Am 5. November wurde im Palo Alto Networks Blog ein Whitepaper zu einem neuen Angriff auf Mac OS X und iOS angekündigt: WireLurker. Der Angriff besteht aus zwei Komponenten: Einem Schädling für Mac OS X, der dann auf einem über USB angeschlossenen iOS-Gerät einen Schädling für iOS installiert. Zusätzliche Informationen liefert Jonathan Zdziarski, der den Schädling ebenfalls untersucht hat (und der auch das Whitepaper direkt verlinkt).

Wird ein iOS-Gerät mit dem infizierten Mac (oder Windows-Rechner) verbunden, nutzt WireLurker die Trusted-Pairing-Beziehung zwischen Rechner und iOS-Gerät aus, um Seriennummer, Telefonnummer, iTune Store Identifier und weitere Daten abzufragen, die dann an einen Server der Cyberkriminellen gesendet werden.

Danach wird versucht, Schadsoftware auf dem iOS-Gerät zu installieren. Dabei müssen zwei Fälle unterschieden werden: Geräte mit und ohne Jailbreak.

... und iOS-Geräte mit Jailbreak

Wirklich gefährdet sind nur Geräte mit einem Jailbreak (wer auf den Schutz durch den "Walled Garden" verzichtet, musste schon seit langem mit Angriffen leben). Läuft auf dem Gerät der AFC2-Service, wird darüber Code eingeschleust, der dann den Benutzer weiter ausspioniert. Dazu werden zum anderen neue Apps auf dem Gerät installiert, zum anderen werden bestimmte chinesische Apps wie eine Online-Auktions-App und eine Bezahl-App, sofern sie bereits auf dem Gerät installiert sind, vom Gerät herunter geladen, mit Schadcode infiziert und die so präparierte App wieder auf dem Gerät installiert. Danach werden zum Beispiel das Adressbuch und die iMessage-Datenbank ausgespäht und an den Server der Angreifer gesendet.

Zwischenfazit 2
Auf iOS-Geräten mit Jailbreak wird eine mächtige Spyware installiert und/oder bestimmte Apps werden direkt manipuliert. Das ist zwar sehr gefährlich, aber im Grunde das Problem der Benutzer: Mit der Installation des Jailbreaks verzichten sie auch auf sämtliche Schutzmaßnahmen, und dieser Angriff ist bei weitem nicht der erste auf Geräte mit Jailbreak. In sofern also: In China nichts Neues.

... und iOS-Geräte ohne Jailbreak

Auf Geräten ohne Jailbreak wird versucht, vom Server der Cyberkriminellen heruntergeladene Apps zu installieren. Dazu wird ein Enterprise-Zertifikat verwendet, das Unternehmen die Installation eigener Apps unabhängig von Apples App Store erlaubt. Entweder wurde der private Schlüssel des verwendeten Zertifikats von den Cyberkriminellen ausgespäht, oder der Inhaber des Zertifikats missbraucht es für den Angriff.

Beim ersten Start einer so installierten App wird der Benutzer aber gefragt, ob er die App wirklich starten will, und dabei auf den angeblichen Herausgeber der App hingewiesen. Stimmt das Opfer zu, wird zunächst ein Enterprise Provisioning Profile installiert, dass dann die einfache Installation weiterer mit dem zugehörigen Zertifikat signierter Apps erlaubt. Bisher wird anscheinend nur eine harmlos aussehende Comic-Book-App installiert. Die natürlich durchaus auch bisher nicht erkannte Schadfunktionen enthalten kann.

Ein entsprechender Angriff wurde bereits zum Beispiel 2013 auf der Black Hat USA vorgestellt. Neu ist also nicht der Angriff an sich, sondern dass er von Cyberkriminellen begangen wird.

Das verwendete Enterprise-Zertifikat wurde von Apple umgehend zurückgezogen, die betroffenen Mac-Apps wurden gesperrt und auch der Command&Control-Server der Cyberkriminellen wurde aus dem Verkehr gezogen.

Zwischenfazit 3
Auf iOS-Geräten ohne Jailbreak wird über ein Enterprise-Zertifikat eine App installiert, vor deren ersten Start der Benutzer gewarnt wird. Das funktioniert also genau so, wie es funktionieren soll. In sofern also auch hier: In China nichts Neues. Übrigens: Ein Problem bei diesem Angriff ist das ungerechtfertigte Vertrauen des iOS-Geräts beim Pairing mit unbekannten Rechnern. Als Gegenmaßnahme wurde mit iOS 7 eine explizite Autorisierung des Pairings durch den Benutzer eingeführt. Was natürlich keine Angriffe über die bereits freigegebenen Rechner verhindert.

Das Gesamt-Fazit finden Sie wie oben schon erwähnt hier, die Beschreibung des Angriffs auf Mac OS X und Windows hier.

Carsten Eilers