Datenklau: App schaffte es erneut in den App Store

Im vergangenen Herbst wurde bekannt, dass ein recht beliebter Instagram-Client namens InstaAgent anscheinend ganz andere Ziele verfolgte als vorgegeben. Vom Nutzer eingegebene Login-Daten, also Nutzername und Passwort, wurden nämlich an einen unbekannten Server übermittelt. Damals entfernte Apple die App sofort aus dem Store, Instagram änderte zudem die offiziellen Schnittstellen. Diese Änderung bewirkte, dass zahlreiche andere Instagram-Clients nicht mehr funktionierten, denn Instagramm schränkte die Möglichkeiten der API-Nutzung empfindlich ein.

Selber Entwickler, selbe Masche
Nun hat es fragliche App allerdings erneut in den App Store geschafft - und zwar in gleich zwei Varianten. Die Apps stammen vom selben Entwickler und auch diesmal geht es nicht mit rechten Dingen zu. Eine Netzwerkanalyse ergab, dass "Who Cares With Me – InstaDetector" und "InstaCare – Who cares with me?" verschlüsselte Datenpakete an unbekannte Server schicken. Der Fund stammt erneut von einem Entwickler namens "David L-R", der schon im November die Kommunikation mit Drittservern nachgewiesen hatte. Es gelang ihm auch, das verschlüsselte Paket zu knacken. Der Inhalt: Passwort und Nutzername des App-Users, also genau wie vor einigen Monaten.

Login-Daten wurden ausgenutzt, daher dringend ändern
Zahlreiche Nutzer der App beschweren sich in den Rezensionen, dass sie nach Installation der Software plötzlich Spam-Fotos und Werbung für den Instagram-Client in ihren Bilder-Feeds vorfanden. Die ohne Wissen des Nutzers gespeicherten Daten werden also aktiv ausgenutzt. Ganz offensichtlich hat Apple bereits reagiert, denn unmittelbar nach Bekanntwerden der Berichte war der Artikel nicht mehr im App Store aufzurufen. Allerdings muss erneut vielen Nutzern geraten werden, ihre Login-Daten für Instagram schnellstmöglich zu ändern.

Top 10, also Hunderttausende Nutzer
Die Apps hielten sich einige Zeit in den Top 10 des App Stores, was auf Hunderttausende Downloads schließen lässt. Dass vom selben Entwickler fast dieselbe Vorgehensweise noch ein zweites Mal funktionierte, wirft ein äußerst unrühmliches Licht auf Apples Software-Review. Dass der Entwickler auch unter Android erfolgreich war und dort ebenfalls keine Probleme hatte, an Nutzerdaten zu gelangen, entschuldigt die Sache keinesfalls. Instagram empfiehlt übrigens den Mitgliedern, lieber die offizielle App () als Drittanbieter-Lösungen zu verwenden.

Kommentare

sierkb23.03.16 15:49
Dayzd23.03.16 17:07
Zu Instagram: Instagram zwingt einem immer mehr den eigenen Client auf. Eine API Änderung, die bald umgesetzt wird, verhindert Drittsoftware den Feed des Nutzers abzurufen... Z.B. Flow für iPad/iPhone wird ab dem Sommer nicht mehr funktionieren, was unglaublich Schade ist. Dabei hat Flow die beste Darstellung, die ich bisher kenne.
Die Instagram App hingegen ist nicht mal fürs iPad gedacht. Was ich einfach nicht nachvollziehen kann. Ihre App Politik ist einfach das Allerletzte. Eigentlich auch unverständlich wieso keiner auf den Hype aufspringt, ein ähnliches Netz anbietet, allerdings mit Upload vom Rechner aus + iPad App. Damit wäre Instagram schnell wieder weg vom Fenster...
Thunderbolt23.03.16 18:23
@sierkb
Immerhin kommt der Artikel zum Schluss:
Apple fans can at least relax in knowing the iPhone is, generally, safer than Android mobile devices.
sierkb23.03.16 18:34
Thunderbolt:

Lasse Dich davon mal nicht blenden oder in trügerischer Sicherheit wiegen. Denn so eine Aussage glt nur solange bis zum Beweis des Gegenteils und solange man die Plattform in Ruhe lässt. Und der Beweis des Gegenteils findet derzeit immer wieder statt und ist auch Gegenstand dieses Threads hier und Gegenstand des Links mit seiner Kernaussage.
Je genauer man also schaut und je mehr die Plattform in den Fokus gerät, desto mehr Lücken und erfolgreich genutzte Lücken werden offenbar, und der bisher geglaubte Abstand zu anderen Plattformen mit noch größerer Verbreitung schwindet bzw. relativiert sich dann recht schnell.

Das hier ist viel eher die Kernaussage von Wardle:
“If I’m going to hack an organization's devices now, it’s going to be Apple. They’re a security soft target.”

Apple's security weaknesses begin with the software designed to protect it.
[..]

Wikipedia (en): soft target: "a person or thing that is relatively unprotected or vulnerable, especially to military or terrorist attack."
Hannes Gnad
Hannes Gnad23.03.16 19:03
sierkb
und solange man die Plattform in Ruhe lässt.
Kein OS ist 100% perfekt, aber eines ist sicher: iOS, und damit auch OS X, wird schon seit Jahren im großen Stil systematisch auf Lücken abgeklopft, von Geheimdiensten, Black Hats, Jailbreakern, CCC usw. Auch deshalb sollte Apple in dem Bereich mehr tun.
sierkb23.03.16 19:08
Hannes Gnad:

Und alle kommen sie regelmäßig zum Schluss und regen sich über Apples insgesamt doch immer noch lahme Reaktionszeit und nur halb zu Ende gedachten und geführten Maßnahmen regelmäßig auf: Apple sollte da nicht nur mehr tun, wie Du so schön sagst, Apple MUSS da sogar DRINGEND mehr tun, es wird immer dringlicher und offenbarer, dass die Zeiten endgültig vorbei sind, wo man sich im gemütlichen Eckchen der kleinen Marktnische noch ausruhen und Zeit lassen und die Dinge aussitzen konnte!

Siehe auch das hier:

Jonathan Zdziarski (22.03.2016): iOS / OS X and Forensics Trace Leakage
sierkb23.03.16 19:25
Ebenso sehr erschreckend und nachdenkenswert der Vorfall und die verzwickte Situation, wovon hier berichtet wird:

Malwarebytes Labs (16.03.2016): An iCloud scam that may be worse than ransomware

Da kommt man schon irgendwie ins Grübeln.
Hannes Gnad
Hannes Gnad23.03.16 20:00
sierkb
Jonathan Zdziarski (22.03.2016): iOS / OS X and Forensics Trace Leakage
Sehr gute Ideen, sollte umgehend beim Apfel anheuern, die entsprechende Stellenausschreibung liegt bestimmt vor, die Suche auf jobs.apple.com mit den Filtern "Security Engineer" und "Software Engineering" ergibt aktuell weltweit 125 Treffer.
sierkb
Ebenso sehr erschreckend und nachdenkenswert der Vorfall und die verzwickte Situation
Das ist eigentlich kein technisches, sondern ein organisatorisches Problem aus der Abteilung "Identitätsklau", denn nichts anderes ist die Übernahme einer Apple ID. Wenn man die hat, kann man eben viele Dinge machen, z.B. daran gebundene Geräte löschen oder sperren. Deshalb sollte man als Benutzer diese Identität so gut wie möglich schützen, mit sicherem Kennwort und Zwei-Faktor-Authentifizierung - oder keine wichtigen Dinge damit verbinden.

In diesem Fall ist die Aufgabe weniger den Mac wieder unter Kontrolle zu bekommen - was wohl jeder AASP könnte, denn der iCloud-Lock für einen Mac ist im Prinzip ein Firmware-Kennwort - als die Kontrolle über die Apple ID zurückzubekommen, an der der Rechner hängt. Und dabei, beim Rücksetzen des iCloud-Kennworts usw., hilft Apple eigentlich immer.
sierkb23.03.16 20:12
Hannes Gnad
Sehr gute Ideen, sollte umgehend beim Apfel anheuern, die entsprechende Stellenausschreibung liegt bestimmt vor, die Suche auf jobs.apple.com mit den Filtern "Security Engineer" und "Software Engineering" ergibt aktuell weltweit 125 Treffer.

Du wirst lachen, der arbeitet schon längst mit Apple und Behörden zusammen bzw. hat mal bei Apple gearbeitet, war mal Mitglied des Apple iPhone-Entwickler-Teams.

Hier seine beeindruckende Vita:

Jonathan Zdziarski über sich selber: About Me

Der Mann weiß also offenbar sehr genau über das iPhone und iOS und seine Sicherheitsmechanismen Bescheid, weiß sehr genau was er sagt, und was er von sich gibt, hat demzufolge Hand und Fuß.

Einige der in OS X und iOS gefundenen Lücken im vergangenen Jahr sind von ihm gefunden worden und von Apple entspr. gefixt und in den jeweiligen Credits bedankt worden. Auch ist so mancher Verbesserungsvorschlag von ihm von Apple aufgegriffen worden und umgesetzt worden, in das eine oder andere iOS-Update eingeflossen. Er hat in der Vergangenheit drüber gebloggt bzw. es freudestrahlend zur Kenntnis genommen, wenn er den einen oder anderen Verbesserungsvorschlag von ihm, den er eingereicht und danach drüber gebloggt hatte, tatsächlich von Apple umgesetzt sah.
sierkb
Ebenso sehr erschreckend und nachdenkenswert der Vorfall und die verzwickte Situation
Hannes Gnad
Das ist eigentlich kein technisches, sondern ein organisatorisches Problem

Es geht hier in diesem Fall auch um die Kombination bzw. das Resultat, sich auf diese Weise selbst auszusperren bzw. aussperren zu lassen und noch nicht Mal Apple will einem dabei dann helfen als Normalsterblicher. Obwohl man gar nichts getan hat und unschuldig in diese Falle geraten ist.
Deshalb sollte man als Benutzer diese Identität so gut wie möglich schützen, mit sicherem Kennwort und Zwei-Faktor-Authentifizierung - oder keine wichtigen Dinge damit verbinden.

Wird dort ja auch empfohlen. Trotzdem.
In diesem Fall ist die Aufgabe weniger den Mac wieder unter Kontrolle zu bekommen - was wohl jeder AASP könnte, denn der iCloud-Lock für einen Mac ist im Prinzip ein Firmware-Kennwort - als die Kontrolle über die Apple ID zurückzubekommen, an der der Rechner hängt. Und dabei, beim Rücksetzen des iCloud-Kennworts usw., hilft Apple eigentlich immer.

Im geschilderten Fall war Apple wohl weniger entgegenkomend.
sierkb23.03.16 20:27
Hannes Gnad
Sehr gute Ideen...

Jonathan Zdziarski (24.02.2016): Open List of Requested iOS Security Improvements
sierkb23.03.16 20:36
Hannes Gnad
Sehr gute Ideen, sollte umgehend beim Apfel anheuern, die entsprechende Stellenausschreibung liegt bestimmt vor, die Suche auf jobs.apple.com mit den Filtern "Security Engineer" und "Software Engineering" ergibt aktuell weltweit 125 Treffer.
sierkb
Jonathan Zdziarski über sich selber: About Me

Curriculum Vitae (PDF)
Hannes Gnad
Hannes Gnad23.03.16 21:32
sierkb
Du wirst lachen, der arbeitet schon längst mit Apple und Behörden zusammen bzw. hat mal bei Apple gearbeitet, war mal Mitglied des Apple iPhone-Entwickler-Teams.
Das ist wirklich komisch, denn "iPhone Dev-Team" ist keine Entwicklungsabteilung in Cupertino, sondern war oder ist eine der bekanntesten Jailbreaker-Truppen.
sierkb
Einige der in OS X und iOS gefundenen Lücken im vergangenen Jahr sind von ihm gefunden worden und von Apple entspr. gefixt und in den jeweiligen Credits bedankt worden. Auch ist so mancher Verbesserungsvorschlag von ihm von Apple aufgegriffen worden und umgesetzt worden, in das eine oder andere iOS-Update eingeflossen. Er hat in der Vergangenheit drüber gebloggt bzw. es freudestrahlend zur Kenntnis genommen, wenn er den einen oder anderen Verbesserungsvorschlag von ihm, den er eingereicht und danach drüber gebloggt hatte, tatsächlich von Apple umgesetzt sah.
Solche Leute sind daher sehr wichtig, und er würde sicherlich sofort einen Job dort bekommen, wenn er nur wollte.
sierkb
Es geht hier in diesem Fall auch um die Kombination bzw. das Resultat, sich auf diese Weise selbst auszusperren bzw. aussperren zu lassen und noch nicht Mal Apple will einem dabei dann helfen als Normalsterblicher. Obwohl man gar nichts getan hat und unschuldig in diese Falle geraten ist. (...) Im geschilderten Fall war Apple wohl weniger entgegenkommend.
Hängt auch davon ab, wie man das angeht: Mit einem Vintage-iMac unter dem Arm in den Apple Store zu laufen, und um Entsperrung zu bitten, ohne tauglichen Eigentumsnachweis, ist weniger zielführend. Der für diesen Fall bessere Ansatz wäre gewesen, sich an AppleCare zu wenden, mit der Bitte, die Kontrolle über die Apple ID zurück zu erlangen.
sierkb23.03.16 21:43
Hannes Gnad
Das ist wirklich komisch, denn "iPhone Dev-Team" ist keine Entwicklungsabteilung in Cupertino, sondern war oder ist eine der bekanntesten Jailbreaker-Truppen.

OK. Danke für die Klarstellung, dann habe ich diese Angabe völlig falsch intepretiert.
Da ich mich mit der Jailbreak-Szene nicht so sehr beschäftige bzw. die diesbzgl. Gruppen und Personen namentlich nur sehr rudimentär weiß, sei mir dieser Fauxpas, diese falsche Zuordnung bitte verziehen.
Habe mich auch schon gewundert, warum Apple nicht offiziell sichtbar in seinem CV auftaucht (wohl aber: 2014-Jetzt: redacted).

Danke für die Richtigstellung.
Solche Leute sind daher sehr wichtig, und er würde sicherlich sofort einen Job dort bekommen, wenn er nur wollte.

Wer weiß, ob er überhaupt will oder nicht schon längst dort angefragt hat?
Dass diese Möglichkeit besteht und diese Stellen derzeit zu besetzen sind, weiß er sicher auch.
Hängt auch davon ab, wie man das angeht: Mit einem Vintage-iMac unter dem Arm in den Apple Store zu laufen, und um Entsperrung zu bitten, ohne tauglichen Eigentumsnachweis, ist weniger zielführend. Der für diesen Fall bessere Ansatz wäre gewesen, sich an AppleCare zu wenden, mit der Bitte, die Kontrolle über die Apple ID zurück zu erlangen.

Ja. Ich trauedem betreffenden Autor aber schon zu, dass er nicht ganz auf den Kopf gefallen ist und das alles bedacht hatte, als er helfen wollte.
Es geht ja bei der Beschreibung des falles eher darum, zu beschreiben, in was für eine vertrackte Situation und Sackgasse man unverschuldet geraten kann bzw. wie perfide diese Ransomware sein kann grad' in Kombination mit dem eigentlich im Sinne des Nutzers gedachten Sperrmechanismus von Apple, also die Beschreibung eines Falles, in dem verschiedene Umstände zusammenkommen und sich am Ende sehr ungünstig auswirken. Ich könnte mir vorstellen, dass das kein Einzelfall bleiben wird und derlei Fälle sich noch häufen werden.
Hannes Gnad
Hannes Gnad23.03.16 22:29
Ganz aktuell dazu:

http://www.heise.de/newsticker/meldung/Apple-Neue-Zwei-Fakto r-Authentifizierung-jetzt-fuer-alle-3150213.html
sierkb23.03.16 22:43
Hannes Gnad
Ganz aktuell dazu:

http://www.heise.de/newsticker/meldung/Apple-Neue-Zwei-Fakto r-Authentifizierung-jetzt-fuer-alle-3150213.html

Danke. Passt ja "wie Arsch auf Eimer" auf meinen vorangegangenen Artikel bzw. als angebotenen Ausweg von Apple aus so einer vertrackten Situation. Gut!

Allerdings lese ich auch grad' dazu in den Kommentaren diesen Hinweis: ,

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen