Angriffe auf iPhone und iPad: Apple und das Ende der Unbeschwertheit

Die Meldungen kommen Schlag auf Schlag: Erst bedroht die WireLurker-Schadsoftware iPhones und iPads vor allem in China, dann wird mit Masque Attack ein potenzielles globales Angriffsszenario bekannt. Die konkrete Gefahr ist nach Einschätzung von Maik Morgenstern, Geschäftsführer und technischer Leiter des Magdeburger IT-Sicherheitsunternehmens AV-Test, zwar derzeit noch gering, dennoch handelt es sich bei den beiden Bedrohungen um Vorboten von künftigen gefährlichen Angriffen auf Apples Mobilgeräte. Vor allem aber geht damit die Zeit der Unbeschwertheit, mit der Apple-Fans sich bislang an ihren Technikprodukten erfreuen konnten, ihrem Ende entgegen.

Bislang galten iPhones als nahezu unangreifbar

Zwischen den beiden Bedrohungen besteht ein grundsätzlicher Unterschied: Der WireLurker-Schädling benötigt zur Verbreitung iPhones und iPads, deren Schutzfunktionen vom Nutzer bewusst außer Kraft gesetzt wurden. Ein Angriff mit Masque Attack funktioniert hingegen mit jedem iOS-Gerät, wenn der Besitzer leichtfertig auf Bestätigungs- und Warnhinweise reagiert. Diese Gefahr ist groß, schließlich galten die Smartphones und Tablets von Apple bislang als nahezu unangreifbar. Selbst anerkannte unabhängige Prüfinstitute wie AV Test hatten bislang keine Notwendigkeit gesehen, iPhones und iPads mit zusätzlicher Sicherheitssoftware zu schützen.

Der Angriff mit dem WireLurker-Schädling – übersetzt Lauscher am Draht – erfolgt in zwei Stufen. Zunächst wird ein Mac-Computer infiziert, indem darauf Apps aus dem chinesischen App Store Maiyadi geladen werden. Um Programme aus dieser Quelle nutzen zu können, müssen die iPhones und iPads entsperrt werden, da sie sonst nur Apps aus dem offiziellen App Store von Apple laden können. Durch diesen sogenannten Jailbreak verlieren die Geräte eine wichtige Schutzbarriere. Die Märkte in China, Russland oder anderen Schwellenländern gelten als besonders anfällig für die Verbreitung von Schadsoftware über infizierte Raubkopien, die dort in großem Umfang kursieren. Wird an den infizierten Mac-Computer nun per Kabel ein iPhone oder iPad angeschlossen, wird der Schädling auch auf diese Geräte übertragen. Die Schadsoftware ist in der Lage, das Adressbuch auszulesen, Nachrichten mitzulesen und Einstellungen zu verändern. Dem US-Sicherheitsunternehmen Palo Alto Networks zufolge, das den Schädling zuerst entdeckt hatte, handelt es sich dabei „um den bis dato größten Angriff auf Apple-Geräte“, wobei die Verbreitung derzeit noch auf den chinesischen Raum beschränkt ist.

Statt "Flappy Bird" eine manipulierte Variante von Gmail

Während WireLurker bereits im Umlauf ist, handelt es sich bei Masque Attack zur Zeit noch um ein Angriffsszenario. Das Sicherheitsunternehmen FireEye will damit auf die Gefahr durch eine bestehende Sicherheitslücke hinweisen. Durch die Maskierung wird dem Nutzer vorgegaukelt, dass er eine harmlose App aktualisiert – zum Beispiel das Spiel „Flappy Bird“. Tatsächlich wird aber die App eines Programms, mit dem sensible Informationen verwaltet werden, ausgetauscht. In der von FireEye gezeigten Demonstration geschieht dies mit Googles Mail-App Gmail. Mit Ausnahme der vorinstallierten Apps können auf diese Weise alle Programme durch manipulierte Apps ausgetauscht werden.

Zunächst wird der Besitzer des iPhones oder iPads auf die neue Version der App hingewiesen. Dies kann beim Besuch einer Webseite oder durch eine E-Mail erfolgen. Der Nutzer muss die Installation bestätigen. Zudem erhält er beim ersten Aufruf der manipulierten App einen Warnhinweis, dass das Programm aus einer potenziell unsicheren Quelle stammt.

Ein verantwortungsvoller Nutzer, der auch bei Apple-Geräten nicht unbedacht jeden Hinweis wegklickt, muss diesen Maskierungstrick somit nicht fürchten. Dass Experten darin dennoch eine weitere Eskalationsstufe sehen, hat einen nachvollziehbaren Grund: Bei diesem Angriff wird der Apple App Store umgegangen, obwohl dies bei Geräten ohne Jailbreak gar nicht möglich sein sollte. Die Angreifer bedienen sich dafür eines weiteren Tricks. Damit Unternehmen auf den Geräten ihrer Mitarbeiter eigene Apps installieren können, hat Apple über sogenannte Enterprise Zertifikate eine Hintertür eingebaut, die die Installation aus anderen Quellen zulässt. Normalerweise erhält Apple für die Zertifikate sogar Geld, doch offenbar lassen sich diese auch fälschen.

Blindes Vertrauen ist nicht länger angebracht, vielmehr müssen die iOS-Nutzer jetzt mit den gleichen Vorsichtsmaßnahmen auf die neuen Bedrohungen reagieren wie bei jedem anderen System auch. Die kostenlosen Sicherheitsheitsprodukte für Android-Smartphones und -Tablets geben den Nutzern einen hinreichenden Schutz. „Bislang hat Apple auf Sicherheitslücken zwar immer sehr rasch reagiert, dennoch wäre es wünschenswert, wenn es auch für iPhones und iPads Virenschutzlösungen gäbe“, sagt AV-Test-Sicherheitsfachmann Morgenstern.