Im sicheren Garten von Apple wurde ein Wurm gefunden. Etwa 40 iOS-Apps wurden deshalb nun aus dem App Store verbannt, da sie mit schädlichem Code infiziert sind, der ein Botnetz aus Apple-Geräten aufbaut.
Das Schadprogramm XcodeGhost befiel Dutzende Apps, unter anderem WeChat (über 600 Millionen Nutzer), die Musik-Download-App von NetEase, den Visitenkarten-Scanner CamCard und Didi Kuaidis Uber-ähnliche Auto-App. Um das Ganze noch schlimmer zu machen, wurde auch die chinesische Version von Angry Birds 2 infiziert. Man fragt sich, ob den Cyberkriminellen gar nichts mehr heilig ist.
Apple investiert viel Zeit und Arbeit, um jede einzelne App im App Store zu überprüfen. Das hat den App Store immer schon von Google Play und anderen App-Läden unterschieden, die laufend von schädlicher Software heimgesucht werden (zumindest bis zum Start von Googles eigenem Malware-Scanning-System im Jahr 2014).
Doch der September 2015 scheint ein extrem schlechter Monat für Apple gewesen zu sein, da zunächst Schadprogramme entdeckt wurden, die Jailbreak-Geräte infizieren (dabei wurde vom „größten Diebstahl von Apple-Konten“ gesprochen), und nun hat Palo Alto Networks kompromittierte Apps im App Store entdeckt.
XcodeGhost #iOS Malware Contained: https://t.co/pBYDo6wMJI via @threatpost #apple pic.twitter.com/0DHpiHBMy8
— Kaspersky (@kaspersky) September 21, 2015
Was ist Xcode und was ist XcodeGhost?
Xcode ist ein kostenloses Toolkit, das von Software-Entwicklern zur Programmierung von iOS-Apps verwendet wird. Das Tool wird offiziell von Apple vertrieben, ist inoffiziell aber auch von Drittanbietern erhältlich. XcodeGhost dagegen ist ein Schadprogramm, das Xcode befällt und die damit erstellten Apps kompromittiert. Die kompromittierten Apps stehlen private Daten der Anwender und senden diese an die Hacker.
XcodeGhost: Mindestens 40 Apps im #Apple #AppStore infiziert
Tweet
Wie wurden die Apps kompromittiert?
Die offizielle Xcode-Version von Apple wurde nicht infiziert, das Problem ist die inoffizielle Version, die beim Cloud-Service Baidu (Chinas Google) hochgeladen worden ist. In China ist es üblich, benötigte Tools von Drittanbietern herunter zu laden, doch diesmal war das keine so gute Idee.
Es gibt einen Grund, warum chinesische Entwickler inoffizielle und unsichere Seiten statt der offiziellen wählen. Das Internet des Landes ist recht langsam, zudem beschränkt die chinesische Regierung den Zugriff auf ausländische Server auf drei Gateways. Da das Installationspaket von Xcode 3,59 GB groß ist, kann der Download von den offiziellen Apple-Servern recht lange dauern.
https://twitter.com/panzer/status/645823037871292417
Die Cyberkriminellen hinter XcodeGhost mussten daher nur ein inoffizielles Paket von Xcode mit ihrem Schadprogramm infizieren und konnten die echten Software-Entwicklern dann für sich arbeiten lassen. Die Forscher von Palo Alto Networks stellten fest, dass das schädliche Xcode-Paket sechs Monate lang erhältlich war und für die Entwicklung zahlloser neuer und aktualisierter iOS-Apps verwendet wurde. Diese wurden dann im App Store veröffentlicht und sind irgendwie an Apples Anti-Malware-Scanner vorbei gekommen.
Avoid submitting your app with a compromised version of Xcode by using the new `verify_xcode` fastlane action pic.twitter.com/732ubbvUmS
— Felix Krause (@KrauseFx) September 21, 2015
Was kommt als nächstes?
Apple hat gegenüber der Nachrichtenagentur Reuters kürzlich bestätigt, dass alle bekannten schädlichen Apps aus dem App Store entfernt wurden und dass das Unternehmen mit den Entwicklern zusammenarbeitet, um sicherzustellen, dass die richtige Version von Xcode verwendet wird.
Apple Asks Developers To Verify Their Version Of Xcode Following Malware Attack On Chinese App Store http://t.co/OtBO21SGX6 by @sarahintampa
— TechCrunch (@TechCrunch) September 22, 2015
Leider hört es damit aber nicht auf. Noch ist nämlich unklar, wie viele Apps wirklich betroffen sind. Reuters merkt an, dass die chinesische Sicherheitsfirma Qihoo360 Technology Co behauptet, 344 von XcodeGhost kompromittierte Apps gefunden zu haben.
Der Vorfall kann der Beginn einer neuen Epoche der Cyberkriminalität markieren, in der Entwickler genauso bedroht sind, wie inoffizielle Online-Shops und normale Anwender. Andere Kriminelle könnten die Taktik der XcodeGhost-Hintermänner kopieren. Zudem berichtet das SANS Institute, dass der Autor von XcodeGhost den Quellcode des Schadprogramms kostenlos auf GitHub veröffentlicht hat. Zufälligerweise kam Xcode Anfang des Jahres ins Medieninteresse – damals im Zusammenhang mit „Jamboree“, einem geheimen Jahrestreffen von Sicherheitsforschern, das von der CIA gesponsert wird.
The CIA has waged a secret campaign to defeat security mechanisms built into Apple devices. http://t.co/a8kN5pHHtu pic.twitter.com/JpkTok0rx6
— The Intercept (@theintercept) March 10, 2015
Bei der Veranstaltung berichteten einige Forscher, dass sie eine modifizierte Version von Xcode entwickelt haben, die Überwachungs-Backdoors in jede mit dem Tool erstellte App einschleusen kann.