Forscher haben nun Informationen veröffentlicht und an Apple weitergegeben, die die Sicherheitslücke beschreiben, die vom Schadprogramm WireLurker ausgenutzt wird, das iOS-Geräte infiziert, die per USB mit Mac-OS-X und Windows-Computern verbunden sind.
Die Sicherheitslücke wurde „Masque“ genannt, sie betrifft die Betriebssysteme iOS 7.1.1, 7.1.2, 8.0, 8.1 und 8.1.1 beta. Interessant ist, dass erste Berichte davon sprachen, dass das Schadprogramm nur iOS-Geräte per USB-Verbindung infizieren kann, doch Forscher von FireEye sagten gestern, dass der Masque-Fehler auch über SMS-Nachrichten und E-Mail ausnutzbar sei. Um Geräte per SMS oder E-Mail zu infizieren, muss der Angreifer sein Opfer aber dazu bringen, einen Link anzuklicken, der zu der schädlichen App führt.
Forscher deckten eine ernste #iOS #Sicherheitslücke auf, die für #WireLurker verantwortlich ist.
Tweet
Technisch gesehen, gibt Masque dem Angreifer die Möglichkeit, legitime iOS-Apps mit schädlichen auszutauschen, ohne dass der Anwender darüber informiert wird. Zum Teil hat die Sicherheitslücke mit einem Fehler in der Prüfung der Identität digitaler Zertifikate durch iOS zu tun, wenn Apps nicht vom Entwickler in den App Store hochgeladen werden. In diesem Fall hat iOS daher die WireLurker-Zertifikate, die legitim signiert waren, nicht als verdächtig markiert, obwohl ein unterschiedliches Zertifikat verwendet wurde, denn die schädliche App wurde direkt vom infizierten Computer oder Laptop auf das Handy des Opfers geladen. Deshalb kann WireLurker auch, anders als frühere iOS-Schädlinge, auch Smartphones infizieren, die nicht mit einem Jailbreak freigeschaltet worden sind.
Laut FireEye ist WireLurker das einzige In-the-Wild-Schadprogramm, das die Masque-Sicherheitslücke ausnutzt, allerdings wird es scheinbar in kriminellen Kreisen bereits verteilt. Die Masque-Lücke ist bisher nicht geschlossen. Jedoch hat Apple schnell reagiert und die von dem Schädling verwendeten Zertifikate ungültig gemacht.
#WireLurker #Apple #Malware Targets Mac OS X Then iOS https://t.co/tAtWI93wrK #security pic.twitter.com/fKAsF8ArzL
— Kaspersky (@kaspersky) November 6, 2014
Kurz nachdem die Sicherheitsfirma Palo Alto Networks in der letzten Woche den ersten Bericht zu WireLurker veröffentlicht hatte, haben die Hintermänner von WireLurker ihre Machenschaften eingestellt. Allerdings zielte der Schädling darauf ab, Windows– und Mac-Computer zu infizieren, wo er sich so lange ruhig verhält, bis ein iPhone oder iPod an den Computer angeschlossen wird. Dann sucht WireLurker auf dem verbundenen iOS-Gerät nach beliebten Apps. Findet er solche, deinstalliert der Schädling diese und ersetzt sie mit einem gefälschten, trojanisierten Exemplar. Klar ist bisher nicht, welche Daten das Schadprogramm stehlen sollte.
WireLurker is no more. #WireLurker is gone: https://t.co/yjdK4xgX06 pic.twitter.com/gSGd2tSELf
— Eugene Kaspersky (@e_kaspersky) November 7, 2014
Die einzigen Anwender, die von WireLurker betroffen sein können, sind Nutzer, die die Meitu-Foto-App, die Taobao-Online-Auktions-App oder die AliPay-Zahlungs-App von einem chinesischen Drittanbieter-Marktplatz namens Maiyadu heruntergeladen haben.
Die Forscher von Palo Alto Networks sagen, dass 467 infizierte OS-X-Apps auf Maiyadi gefunden wurden, die bis zum 16. Oktober von über 100.000 Anwendern mehr als 350.000 Mal heruntergeladen worden sind. „Der Bedarf an Antivirus-Software für Mac-OS-X-Geräte kann nicht überbewertet werden“, so die Forscher von Kasperskys Global Research and Analysis Teams in einem Securelist-Artikel. „Nicht nur Ihr OS-X-Computer kann infiziert werden. WireLurker zeigt, wie eine Infizierung vom Mac auf Ihr iPhone überspringen kann. Das Gute ist, dass es viele Möglichkeiten gibt, Macs zu schützen, unter anderem auch unsere eigene Kaspersky Internet Security for Mac.“