Apple notarisiert versehentlich Flash-Player-Malware

Viele Nutzer kennen die nervige Werbung im Web-Browser, welche zur Installation eines Flash-Player-Updates auffordert. Doch hier handelt es sich nicht um den (mittlerweile eingestellten) Flash-Player von Adobe, sondern um Malware. Apple führte daher einen Prozess namens "Notarization" ein, über welchen Mac-Apps signiert werden, welche Entwickler außerhalb des Mac App Stores vertreiben.


Anders als im Mac App Store untersucht Apple hier die Apps nur auf Malware und Viren – sogar die Nutzung von privaten Programmierschnittstellen ist momentan noch gestattet. Im Mac App Store hingegen müssen sich Entwickler an Apples strenge Vorgaben halten und obendrein 30 Prozent des Umsatzes an Apple abgeben.

Automatischer Scan schlägt nicht an
Die Sicherheitsforscher Peter Dantini und Patrick Wardle machten einen kuriosen Fund: In freier Wildbahn fanden sie ein gefälschtes Flash-Update mit Malware – aber vollständig signiert und notarisiert. Offenbar konnten die Autoren der Malware Apples Prozess überwinden und erhielten eine vollständig signierte und notarisierte App mit Malware. Die Sicherheitsforscher glauben, dass dies das erste Mal ist, dass Apple fälschlicherweise Malware signierte – bisher ist zumindest kein solcher Fall bekannt geworden.

Apples Antwort
Apples Antwort auf das Ergebnis der Sicherheitsforscher ließ nicht lange auf sich warten: Apple merkt an, dass sich Malware und Viren stetig verändern – und Apple den Notarisierungsprozess entsprechend anpasst. Als Apple von der Bedrohung erfuhr, legte man die App sofort still, machte die Zertifikate ungültig und sperrte das betreffende Entwicklerkonto. Ferner bedankte sich Apple bei den Sicherheitsforschern für die Kooperation.

Sperre möglich
Durch den Notarisierungsprozess ist es Apple glücklicherweise möglich, einzelne Apps und App-Updates aus der Ferne zu Sperren, um Schlimmeres zu verhindern. Vormals blockierte Apple derartige Malware mittels "XProtect" – eine lokale, in macOS integrierte Sicherheitssoftware von Apple.

Flash-Player beinhaltete "Shlayer"
Die notarisierte Malware enthielt die Schadsoftware "Shlayer" – hierbei handelt es sich genauer gesagt um "Adware". Diese klinkt sich in Netzwerkverbindungen ein, analysiert den Inhalt und platziert beispielsweise Werbung sowie veränderte Suchergebnisse auf den aufgerufenen Seiten. Hier verdienen die Autoren Geld, da die Anzeigen von "Shlayer" eingeblendet werden und nicht die der eigentlichen Webseite.

Kommentare

buran63
buran6301.09.20 08:59
Ein peinlicher Fehler 😔
Stille und Schweigen sind nicht Ausdruck der Missachtung des Wortes, sondern ganz im Gegenteil Zeugnisse seiner hohen Wertschätzung. *apple*
-1
Urkman01.09.20 09:02
buran63
Ein peinlicher Fehler 😔

Ja richtig, aber Fehler passieren... Jedem von uns... Die Frage ist immer, wie geht man mit diesen Fehlern um...
+4
Mendel Kucharzeck
Mendel Kucharzeck01.09.20 09:07
buran63
Ein peinlicher Fehler 😔

Die Notarisierung ist momentan ein vollautomatischer Prozess, bei dem nach bestimmten Inhalten in der Binärdatei gescannt wird – folgen diese Inhalte nicht einem bestimmten Muster, wird notarisiert. Peinlich ist der Fehler daher nicht, da ein solcher automatischer Prozess nie alles erkennen wird – sonst wären zum Beispiel lokale Virenscanner auch absolut wasserdicht und es könnte keine Viren mehr geben.
+4
DTP
DTP01.09.20 09:36
Peinlich finde ich den Fehler auch nicht, Fehler passieren. Wie Mendel richtig bemerkt, gibt es keine 100%ige Sicherheit.

Und genau das finde ich eben bedenklich. Von Apple wird es so suggeriert, als reichten Bordmittel aus um 100%igen Schutz zu erreichen.
Hier im Forum auch von vielen ("Virenscanner sind Schlangenöl wenn sie nicht von Apple selbst kommen"). Bei iOS noch schlimmer, da kann man ja nicht mal Zusatzsoftware nutzen.

Mein Fazit: Apple unternimmt große Anstrengungen, um seine Betriebssysteme sicher zu machen. Und da keiner unfehlbar ist, rutscht auch Apples automatischen und menschlichen Prüfungen öfter mal was durch. Darum: Nicht nur auf eine Instanz vertrauen, sondern auf mindestens eine weitere. Und Backups machen.

Patrick Wardle ist übrigens der Programmierer hinter den Schutzlösungen von Objective See: https://objective-see.com/about.html Sehr empfehlenswerte Schutzsoftware! Donationware.
+2
DTP
DTP01.09.20 09:48
Apple
Ferner bedankte sich Apple bei den Sicherheitsforschern für die Kooperation.
https://objective-see.com/about.html
Die Idee

Mit der zunehmenden Verbreitung von Macs nimmt auch die Malware für OS X zu. Leider ist die aktuelle Sicherheits- und Antiviren-Software für Macs ziemlich trivial, um sie generisch zu umgehen.

Objective-See wurde geschaffen, um einfache, aber effektive OS X-Sicherheitswerkzeuge zur Verfügung zu stellen. Immer kostenlos - ohne Haken und Ösen!

Meiner Meinung sind die ersten zwei Tools ein MUSS:

BlockBlock
BlockBlock bietet kontinuierlichen Schutz durch die Überwachung der Persistenz-Orte. Jede neue dauerhaft vorhandene Komponente löst einen BlockBlock-Alarm aus, wodurch bösartige Gegenstände blockiert werden können.

RansomWhere?
Durch die ständige Überwachung des Dateisystems auf die Erstellung verschlüsselter Dateien durch verdächtige Prozesse versucht RansomWhere? deine persönlichen Dateien zu schützen, indem es Ransomware Software von vornherein unterbindet.

Und wer noch will:

Lulu
In der heutigen vernetzten Welt ist es selten, dass man eine Anwendung oder ein Stück Malware findet, die nicht mit einem entfernten Server spricht. LuLu ist die kostenlose, offene Firewall für Macs, die deine Netzwerkverbindungen schützen und bösartige Aktivitäten erkennen kann.

Und dies hier ist ein Analysetool (läuft nicht ständig):

KnockKnock
"Klopf-Klopf... Wer ist da?" Schau nach, was dauerhaft auf deinem Mac installiert ist. KnockKnock deckt permanent installierte Software auf, um generisch Malware aufzudecken.

Vielleicht sind die Tools mal einen MacTechNews oder Rewind Artikel wert?
+6
sierkb01.09.20 12:51
MTN
[…]

Als Apple von der Bedrohung erfuhr, legte man die App sofort still, machte die Zertifikate ungültig und sperrte das betreffende Entwicklerkonto. Ferner bedankte sich Apple bei den Sicherheitsforschern für die Kooperation.

[…]

Golem (01.09.2020): Shlayer: Malware rutschte durch Apples Notarisierungsprozess
Obwohl er zu den verbreitetsten MacOS-Schadprogrammen gehört, rutschte der Trojaner Shlayer offenbar mehrmals durch die Sicherheitsprüfung.
Golem, 01.09.2020
[…]

Ein vermeintliches Flash-Player-Update führte zu der Installation der Malware, die nicht von Apples Sicherheitsprogramm Gatekeeper blockiert wurde. Ein Update-Hinweis tauchte auf, wenn Nutzer aus Versehen nicht die Seite des beliebten Paketmanagers Homebrew aufriefen, sondern eine ähnlich aussehende URL.

Die Schadsoftware Shlayer ist laut Kaspersky eine der verbreitetsten Bedrohungen für MacOS-Nutzer. Der Trojaner wird vor allem dafür genutzt, Adware zu laden und Nutzern unerwünschte Werbung auszuspielen.

Nachdem die Forscher Apple kontaktierten, zog das Unternehmen letzten Freitag die Code-Signing-Zertifikate der Entwickler zurück. Kurz darauf sei aber wieder eine Malware-Kampagne mit beinahe identischem und dennoch weiterhin notarisiertem Payload aufgetaucht. Gegenüber Techcrunch gab Apple an, dass auch die neue Variante mittlerweile blockiert werde. Es sei ein "Katz-und-Maus-Spiel zwischen den Angreifern und Apple", schreibt Wardle in einem Blogpost.

heise (31.08.2020): Notarisierte Mac-Malware: Apple beglaubigte offenbar mehrfach Trojaner
Apples Notarisierungsdienst soll Mac-Nutzer vor Malware schützen. Nun beglaubigte der Hersteller auch den notorischen Schädling "Shlayer".
heise, 31.08.2020
Große Panne bei Apples Sicherheits-Check für Mac-Software: Unbekannte haben den Schädling Shlayer bei Apple zur Notarisierung eingereicht – und diese auch erhalten, wie Sicherheitsforscher bemerkten. Der Malware-Installer habe sich damit auch auf Macs mit der aktuellen Betriebssystemversion macOS 10.15 Catalina sowie der kommenden Version macOS 11 Big Sur einfach öffnen lassen statt blockiert zu werden.

[…]

Nach einem Hinweis von Wardle zog Apple das von der Malware für Signatur und Notarisierung benutzte Entwicklerzertifikat am vergangenen Freitagabend zurück, sodass das Betriebssystem den Installer wieder blockierte. Schon am Sonntag sei die Malware-Kampagne aber wieder gelaufen – mit neuer Signatur und zusätzlicher Notarisierung.

[…]

Der Trojaner Shlayer treibt seit längerem sein Unwesen und lieferte bislang Adware aus, die etwa Suchanfragen im Browser manipuliert. Er verhält sich dabei vergleichsweise clever und konnte immer wieder auch Sicherheitsmechanismen in macOS austricksen.

Objective-See, Patrick Wardle (30.08.2020): Apple Approved Malware
malicious code ...now notarized!? #2020
0
Mecki
Mecki01.09.20 14:16
DTP
Hier, du wolltest doch ein Beispiel, wofür es gut, dass Apple Apps serverseitig lahm legen kann, oder? Schau, schon hast du es.

Ansonsten muss man das im Verhältnis sehen. Niemand hat gesagt, dass die automatische Notarization oder sogar ein händischer App Review niemals Malware durchlassen wird. Aber nur weil alle 10 Mio Apps mal etwas durchrutscht den Prozess an sich zu kritisieren ist Unfug. Das wäre so wie alle Feuermelder in Deutschland abzuschaffen, nur weil es irgendwo mal gebrannt hat und dabei kein Melder los gegangen ist. Ohne den Prozess würden 100 Stück davon am Tag online gehen.
+1
sierkb01.09.20 15:03
Ohne den Prozess würden 100 Stück davon am Tag online gehen.

Tut's ja auch, und Apple merkt's erst dann und agiert, wenn Andere sie drauf hinweisen bzw. mit dem Kopf drauf stoßen bzw. solange nerven, bis Apple in Wallung kommt und rührig wird. Apples diesbzgl. Review-Prozess ist doch diesbzgl. für'n Arsch und gibt ein jämmerliches, trügereisches Bild ab, er funktioniert, wenn man ehrlich ist, in puncto Sicherheit nicht – so ganz und gar nicht. Gefühlte und beworbene und suggerierte Sicherheit ist noch lange nicht echte Sicherheit. Sicherheit ist da doch nur ein Vorwand. Aber ganz bestimmt nicht die eigentliche und ehrliche Motivation dahinter.

Siehe auch:

heise (25.08.2020): Sicherheitsfirma: Werbe-SDK sorgt für Klick-Betrug in iPhone-Apps
Das in iOS-Apps eingebettete SDK eines Werbeanbieters betreibt angeblich Ad-Fraud und spioniert den Nutzer aus.
heise, 25.08.2020
In gut 1200 iOS-Apps steckt einer Analyse zufolge "bösartiger Code", der durch das SDK einer Werbefirma eingeschleust wird. Die iOS-Version des SDKs der chinesischen Firma Mintegral beinhalte seit gut einem Jahr Code, mit dem sich Klickbetrug durchführen lasse und die Aktivitäten des App-Nutzers durch Aufzeichnung aller URL-basierten Anfragen protokollieren lasse, schreibt die Sicherheitsfirma Snyk – auch sensitive Daten könnten dabei übermittelt werden.

SDK greift angeblich URL-Anfragen ab

Das SDK sei in der Lage, jede URL-Anfrage innerhalb der App abzufangen und nutze dies dafür aus, um Klicks auf von anderen SDKs ausgelieferte Werbebanner sich selbst zuzuschreiben, heißt es in der Analyse von Snyk – damit klaue man den Konkurrenten den Werbeumsatz. Werbefinanzierte Apps integrieren oft SDKs verschiedener Werbeanbieter.

Das Werbe-SDK speichere zugleich alle URL-Abrufe innerhalb der App und übertrage diese an den eigenen Server mitsamt zusätzlichen Informationen wie der Advertising-ID (IDFA) des Gerätes – eine eindeutige ID, die iOS für Apps bereitstellt. Es sei unklar, was mit diesen möglicherweise sensiblen Daten auf den Servern des Anbieters passiere. Mintegral versuche zugleich, das Verhalten durch verschiedene Techniken zu verschleiern, schreibt Snyk, werde das SDK "beobachtet" – etwa durch einen Debugger oder im iOS-Simulator – schalte es das böswillige Verhalten ab. Das könnte auch dabei helfen, dass Apps mit dem integrierten SDK offenbar durch Apples Prüfprozess in den App Store kommen, so die Sicherheitsfirma.

[…]

Keine Liste mit betroffenen Apps

Eine Liste mit den Namen der Apps, die das Mintegral-SDK integriert haben, wurde bislang nicht veröffentlicht. Snyk verweist aber darauf, dass darunter populäre Apps seien mit geschätzten 300 Millionen Downloads pro Monat – sollten die Schätzungen stimmen, müsste extrem nachgefragte Apps darunter sein. Ob davon hauptsächlich iOS-Spiele auf dem chinesischen Markt betroffen sind, oder auch international beliebte Apps, bleibt vorerst offen. Für Endnutzer ist es praktisch unmöglich nachzuvollziehen, welche Dritt-SDKs eine App integriert hat.

Man habe noch keinen Beweis dafür gesehen, dass das Mintegral-SDK Nutzern schade, erklärte Apple gegenüber ZDNet. App-Entwickler seien für die SDKs verantwortlich, die sie in ihre Apps integrieren. Man erweitere deshalb die Schutzfunktionen des Betriebssystems, so der Hersteller, iOS 14 erschwert beispielsweise den heimlichen Zugriff auf Nutzerdaten deutlich.

snyk (24.08.2020): SourMint: malicious code, ad fraud, and data leak in iOS


Wie kann sowas in Apples App Store reinkommen und da von ihnen unbeanstandet durchrutschen und von ihnen zig-, huntert-, tausendfach verteilt werden? Auf was prüft Apple beim App Review eigentlich wirklich, worauf schauen sie da, auf was schauen sie da wirklich? – Spätestens seit der Wordpress App, Facbook App, Epic Games App und ein paar Anderen wissen wir's, worauf Apple wirklich schaut und was ihnen zuvorderst wirklich wichtig bzw. noch viel wichtiger ist ist: es ist leider eben nicht die Sicherheit, nicht die Sicherheit der Nutzerdaten, sondern in Wahrheit: Geld. Money – ihr Schnitt, ihr monetärer Gewinn – dafür legen sie ihre selbst aufgestellten Regeln auch gerne mal so und so aus, besonders sich selbst und ausgesuchten Geschäftspartnern gegenüber. Sicherheit? Kommt erst danach (wenn überhaupt).
+1
DTP
DTP01.09.20 15:17
Mecki
DTP
Hier, du wolltest doch ein Beispiel, wofür es gut, dass Apple Apps serverseitig lahm legen kann, oder? Schau, schon hast du es.
Es ging ja nicht um ein Beispiel, denn Beispiele gibt es ja (leider) in der Vergangenheit genug.

In der Diskussion ging es darum, ob das Entziehen des Zertifikats und damit Stilllegen EINER EINZIGEN App (oder alle Apps EINES EINZIGEN Entwicklers) SICHERER (Komparativ!) sei ALS ein Schutz, der nach bestimmten Vorgehensweisen (wie Verschlüsselung von Dateien oder Zugriff auf hunderte von Dateien) vorgeht.

Da sehe ich nicht, wie das im vorliegenden Fall sicherer sein soll, im Gegenteil, das Beispiel zeigt es ja gerade.
Das ist eben das erwähnte "Katz und Maus Spiel". Wie sierkb schreibt, gibt es wohl dutzende Apps, die ähnlich agieren und die Apple noch nicht gefunden hat.

Darum ist Patrick Wardles Ansatz ja anders (mMn besser), stattdessen nach Verhaltensweisen von Apps zu suchen. Eine Kombination von beiden ist auch gut, nur dafür muss man eben Dritttools installieren.
+1
PaulMuadDib01.09.20 19:10
DTP
Darum ist Patrick Wardles Ansatz ja anders (mMn besser), stattdessen nach Verhaltensweisen von Apps zu suchen. Eine Kombination von beiden ist auch gut, nur dafür muss man eben Dritttools installieren.
Das versuchen die Schlangenölhersteller schon seit Äonen. Die sind bisher grandios gescheitert. Es schlicht nicht möglich am Verhalten einer App irgendetwas feststellen. Das einzige was geht, ist sowas wie das Kontaktieren von z.B. C&C-Servern, was natürlich nur funktioniert, wenn die entsprechenden Ziele bekannt sind. Also genauso schlecht, wie beim Vergleichen von Signaturen.

Codesignierungen schützen ohnehin einigermaßen vor direkten Manipulationen, weswegen sie nur den Teil einer Strategie sein können. Es ist aber besser, als nix.
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.