Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Xcode manipuliert: Apple bestätigt Malware im App Store

Um den App Store so gut wie möglich frei von Malware oder minderwertigen Apps ohne Funktionalität zu halten, setzte Apple von Anfang an auf strenge Vorgaben und eingehende Überprüfung eingereichter Apps. Da es nur sehr selten Meldungen über Malware gibt, war Apple mit dieser Politik bislang ziemlich erfolgreich. Jetzt musste Apple allerdings eingestehen, dass eine Vielzahl infizierter Apps über eine manipulierte Xcode-Version in den App Store gelangte - teils als exakte Kopien bestehender Programme, teils aber auch ohne Wissen der Entwickler.


Apple reagiert umgehend
Je nach Quelle ist die Rede von bis zu 350 Malware-Apps, die über eine manipulierte Xcode-Version übermittelt wurden. Die Sicherheitsspezialisten von Palo Alto Networks gehen allerdings nur von 40 tatsächlich verbreiteten Titeln aus, darunter allerdings auch prominente Angebote wie beispielsweise WeChat (Ein Unternehmenssprecher gab insofern Entwarnung, als dass die offizielle Version nicht kompromittiert sei). Eine Apple-Sprecherin bestätigte, dass man umgehend auf die Berichte reagiert und die fraglichen Apps aus dem App Store verbannt habe ().

Manipulierte Xcode-Version fügt Malware hinzu
Vertrieben wurde die modifizierte Version von Xcode über den chinesischen Such- und Storage-Dienst Baidu. Dieser reagierte umgehend auf die Berichte und löschte die Inhalte. Unbekannt bleibt allerdings, wie stark die Version in Umlauf geriet - und vor allem auch, wie viele Nutzer sich manipulierte Apps aus dem App Store heruntergeladen haben. Apple versprach der New York Times gegenüber, man stehe mit vielen Entwicklern im Austausch und wolle damit sicherstellen, dass sich nur die authentische Version von Xcode im Einsatz befinde. Der Entwickler bemerke nämlich nicht, dass erst beim Übertragen der Apps Malware hinzugefügt werde. Eine Malware-infizierte App konnte nach Veröffentlichung schädlichen Code über bestimmte Webseiten nachladen oder den Nutzer direkt zur Eingabe persönlicher Daten auffordern. Viele dieser Seiten wurden offiziellen Angaben zufolge bereits deaktiviert.

Hosting bei Drittanbietern
Palo Alto Networks zufolge haben die Hacker den simplen Fakt ausgenutzt, dass viele chinesische Entwickler Xcode nicht direkt bei Apple, sondern von anderen Downloaddiensten laden. Die Downloadraten von Apples Servern seien in China sehr niedrig, weswegen lokale Server die bevorzugte Quelle darstellen. Eine andere Erklärung laute, die Angreifer konnten Entwicklern sehr gut vortäuschen, den Download über offizielle Wege vorzunehmen, obwohl eigentlich auf die gecrackte Version aktualisiert wurde.

XcodeGhost: Bislang größter Malware-Fall
Auch wenn die Anzahl der überlisteten Xcode-Nutzer wohl sehr überschaubar ausfällt, so handelt es sich dennoch um das bislang größte Malware-Problem in der Geschichte des App Stores. Außerdem offenbart die Angelegenheit Lücken in Apples Sicherheitssystem, mit denen offensichtlich nicht gerechnet worden war. Wer vor der Sorge steht, möglicherweise Opfer einer manipulierten App geworden zu sein, sollte auf jeden Fall sämtliche wichtigen Passwörter und Zugangsdaten ändern. Außerdem empfehlt es sich, die im nächsten Absatz genannten Apps zu löschen.

Bislang bekannte gewordene betroffene Apps
Mercury, WinZip, Musical.ly, PDFReader, guaji_gangtai en, Perfect365, PDFReader Free, WhiteTile, IHexin, WinZip Standard, MoreLikers2, CamScanner Lite, MobileTicket, iVMS-4500, OPlayer Lite, QYER, golfsense, ting, installer, golfsensehd, Wallpapers10000, CSMBP-AppStore, MSL108, ChinaUnicom3.x, TinyDeal.com, snapgrab copy, iOBD2, PocketScanner, CuteCUT, AmHexinForPad, SuperJewelsQuest2, air2, InstaFollower, CamScanner Pro, baba, WeLoop, DataMonitor, MSL070, nice dev, immtdchs, OPlayer, FlappyCircle, BiaoQingBao, SaveSnap, WeChat, Guitar Master, jin, WinZip Sector, Quick Save und CamCard.

Kommentare

senf_321.09.15 08:19
So viel zur These App Store garantiert Sicherheit, die einige immer wieder gerne vorbringen...
0
TerenceHill
TerenceHill21.09.15 08:21
Wie bitte? Xcode lädt man bei Apple und nicht irgendwo im Netz.
0
TerenceHill
TerenceHill21.09.15 08:24
senf_3

Apple's System ist das sicherste auf dem Markt. Nur jedes System hat seine Schwachstellen, wenn man mit krimineller Energie nach einer Lücke sucht.
0
senf_321.09.15 08:36
TerenceHill
senf_3

Apple's System ist das sicherste auf dem Markt. Nur jedes System hat seine Schwachstellen, wenn man mit krimineller Energie nach einer Lücke sucht.

Das stimmt. Aber viele behaupteten bislang, dass gerade solche Szenarien durch den Appstore vermieden würden. Sich hinterher hinzustellen und lässig zu sagen, mit so etwas muss man grundsätzlich rechnen, ist dreist.
0
Nekron21.09.15 08:38
Als WeChat Nutzer frage ich mich jetzt was die konkreten Gefahren sind? Einfach nur Datenklau oder ernsthafte Veränderungen an meinem iPhone?
0
TerenceHill
TerenceHill21.09.15 08:43
senf_3

Wer hat diese lässige Aussage getroffen?
Richtig ist jedoch, dass es eine Frage der Zeit war. Alle Größe Unternehmen werden Opfer solcher kriminellen Angriffe. Das beste Beispiel ist Sony PSN Network. Ein Angriff in dieser Dimension war gänzlich neu. Und es wird sie immer geben. Leider.
0
TerenceHill
TerenceHill21.09.15 08:45
Nekron

Einfach: WeChat löschen und neu installieren.
Besser: iPhone zurücksetzen und neu aufbauen. Somit ist es sicherer, dass nicht häßliches übrig bleibt.
0
Nekron21.09.15 08:50
Danke!
0
sapajou21.09.15 08:55
TerenceHill
senf_3
Das stimmt. Aber viele behaupteten bislang, dass gerade solche Szenarien durch den Appstore vermieden würden. Sich hinterher hinzustellen und lässig zu sagen, mit so etwas muss man grundsätzlich rechnen, ist dreist.

Dem würde ich vehement widersprechen. Das Problem ist ja nicht der Appstore, sondern die App-Entwickler, die sich Malware eingefangen haben und diese durch ihre Apps verteilen. Die Gemeinsamkeit hier ist ja, dass es über falsche Xcode-Versionen passiert. Wer Software aus nicht-offiziellen Quellen lädt, ist immer Schuld. Seien es Nutzer oder Entwickler, das sind einfach Basics, sorry.
0
beat
beat21.09.15 09:00
sapajou
TerenceHill
senf_3
Das stimmt. Aber viele behaupteten bislang, dass gerade solche Szenarien durch den Appstore vermieden würden. Sich hinterher hinzustellen und lässig zu sagen, mit so etwas muss man grundsätzlich rechnen, ist dreist.

Dem würde ich vehement widersprechen. Das Problem ist ja nicht der Appstore, sondern die App-Entwickler, die sich Malware eingefangen haben und diese durch ihre Apps verteilen. Die Gemeinsamkeit hier ist ja, dass es über falsche Xcode-Versionen passiert. Wer Software aus nicht-offiziellen Quellen lädt, ist immer Schuld. Seien es Nutzer oder Entwickler, das sind einfach Basics, sorry.

Und was nützt es uns, wenn wir wissen, wer schuld ist?! Das Problem scheint mir zu sein, dass es überhaupt möglich ist...
Apple wird vermutlich einen Weg finden, um die Idioten, die es immer und überall gibt, auszusperren; ich hoffe, das gelingt möglichst schnell und mit möglichst wenig Auswirkungen bzw. Kollateralschaden.
Glaube nicht alles, was im Internet geschrieben wird, bloss weil da ein Name und ein Zitat stehen (Abraham Lincoln)
0
Hannes Gnad
Hannes Gnad21.09.15 09:05
Sicherlich versucht Apple, das System so sicher wie möglich zu machen. Nun haben sie einen neuen Angriffsvektor kennengelernt, mit dem sie bisher anscheinend noch nicht gerechnet haben - man manipuliert einfach die ganze Entwicklungsumgebung, und erzeugt damit Malware.

Nun wird sich Apple Mechanismen einfallen lassen müssen, die so was in Zukunft verhindern.
0
sierkb21.09.15 09:05
MacRumors (20.09.2015): What You Need to Know About iOS Malware XcodeGhost

(ist bzgl. der Anzahl der gefundenen infizierten Apps schon wieder als veraltet betrachtet zu sehen)
0
Ties-Malte
Ties-Malte21.09.15 09:17
TerenceHill

Im Falle von WeChat scheint das zu gehen, die App ist wieder im AppStore zu haben.

CuteCUT (Pro) aber z.B., ein Schnitt-Programm vergleichbar mit dem alten iMovie, ist derzeit komplett verschwunden. Man kann nur hoffen, dass es diese gute Software wieder in den AppStore schafft.

Und hier stellt sich natürlich die Frage: Ab welchem Kaufdatum sollte man die App löschen? Und: Ist die potenzielle Malware im Falle einer Sicherung auf der Festplatte (und via Time Machine!) auch für den Mac gefährlich?

Dass Apple hier nicht deutlicher wird und die betroffenen User benachrichtigt (die User verlassen sich ja auf die beworbene Sicherheit des AppStores – und Apple HAT die Kontaktdaten seiner Kunden), finde ich nicht in Ordnung.
The early bird catches the worm, but the second mouse gets the cheese.
0
Schweizer
Schweizer21.09.15 09:20
TerenceHill
Wie bitte? Xcode lädt man bei Apple und nicht irgendwo im Netz.

Und du bist dir immer zu 100% das die von dir angesteuerte Seite auch die ist, die du denkst?

- Router gekapert (DNS verbogen)
- Rechner infiziert (DNS verbogen)
- Auftragsarbeit (Vorsatz).
- u.s.w
0
sierkb21.09.15 09:22
Hannes Gnad
Nun haben sie einen neuen Angriffsvektor kennengelernt, mit dem sie bisher anscheinend noch nicht gerechnet haben - man manipuliert einfach die ganze Entwicklungsumgebung, und erzeugt damit Malware.

Schönrednerei. Damit konnte man rechnen, nein, musste man sogar. Und dass das, also das gezielte Kompromittieren von Xcode, um damit verseuchte Binaries zu erstellen, möglich ist und schon von jemand anderem gemacht worden ist, nämlich vom FBI, das belegen Dokumente von Edward Snowden.

Und dass sowas prinzipiell möglich ist, dass nämlich der Compiler einen sich selbst replizierenden Trojaner produzieren kann, der den Compiler selber infiziert und somit unerkannt das resultierende Kompilat komprommittieren kann, ohne dass selbst das geschulte Auge das bemerkt, weiß man seit 31 Jahren, als Ken Thompson, Erfinder von UNIX, damals genau sowas bereits vorgestellt hatte in Gestalt seines berühmten Essays Reflections on Trusting Trust , dem sog. "Thompson Hack" (PDF).

Und wenn bei den Chinesen halt die Leitungen teilweise tröpfeln (im kB-Bereich) und man da teilweise mehrere Tage braucht, um sich mehrere Gigabyte Xcode bei Apple runterzuladen (teilweise, weil die ISPs dort langsam sind, teilweise weil Apples Server durchaus selber tröpfeln, bemerken wir hier ja auch immer öfters), ist es auch kein Wunder (zu verurteilen: ja unbedingt, aber erklärlich), wenn sich dort alternatives Mirroring der betreffenden Xcode-Dmgs breitmacht, um schneller bzw. überhaupt ranzukommen.

Zumal es hiermit die 6. Malware ist, die Apples angeblich so strenge Einlasskontrolle des AppStores erfolgreich überstanden hat und durchgelassen worden ist, und einige Apps werden dem Vernehmen von Palo Alto Security Research angeblich sogar nie geprüft und ungeprüft durchgewunken.

Neu ist da Apple also gar nichts. Und überrascht muss man da auch nicht sein.

Zudem (auch nicht gerade förderlich in dieser Angelegenheit und sicher eine Mitursache, auch da sollte Apple mal dringend Hand anlegen):

Siyuan Ren (20.09.2015): Gatekeeper should be overhauled
0
EmptySleve
EmptySleve21.09.15 09:22
Schweizer
TerenceHill
Wie bitte? Xcode lädt man bei Apple und nicht irgendwo im Netz.

Und du bist dir immer zu 100% das die von dir angesteuerte Seite auch die ist, die du denkst?

- Router gekapert (DNS verbogen)
- Rechner infiziert (DNS verbogen)
- Auftragsarbeit (Vorsatz).
- u.s.w

Das sind Basics. (Siehe oben)
0
Ties-Malte
Ties-Malte21.09.15 09:26
Danke für den Link, @@sierkb! Also immerhin scheinen keine Macs betroffen zu sein, nur kompatible iOS-Geräte.
The early bird catches the worm, but the second mouse gets the cheese.
0
sierkb21.09.15 09:33
Ties-Malte
Also immerhin scheinen keine Macs betroffen zu sein, nur kompatible iOS-Geräte.

Das weiß man nicht. Das wahre Ausmaß ist noch gar nicht zu umfassen (einige populäre betroffene Apps wie WeChat oder Winzip oder deren Bahn-App sind hunderte Millionen Mal unters Volk gebracht, und das nicht nur in China, sondern bestimmte Apps betreffend auch weit darüberhinaus im gesamten Asia-Pazifik-Raum, Europa, USA). Zumal verlautbart wird, dass diese Geschichte prinzipiell jederzeit wieder passieren kann (oder auch schon ist), auch im Mac AppStore. Apple muss da gleich an mehreren Stellen ganz gehörig was ändern, damit sowas prinzipiell nicht wieder passieren kann.

Zumal wohl auch: .

Und was heißt: immerhin keine Macs betroffen – iPhones und iPads dürften zahlenmäßig inzwischen verbreiteter sein als Macs.
0
iGod21.09.15 10:03
Seit dem o.wunder nicht mehr die Qualitätssicherung übernimmt, geht's bergab.
0
Tumbler
Tumbler21.09.15 10:27
iGod Du nusst ihn wirklich seehr vermissen.
Nicht im Tromeltrockner trocknen.
0
gfhfkgfhfk21.09.15 10:45
TerenceHill
Besser: iPhone zurücksetzen und neu aufbauen. Somit ist es sicherer, dass nicht häßliches übrig bleibt.
Wenn man sicher gehen will, daß nichts häßliches zurückbleibt muß man das Handy wegwerfen, da man als normaler Anwender nicht in der Lage ist Rootkits zu löschen die sich in der Firmware eingenistet haben. Da es mittlerweile diverse Chips mit Firmware gibt, ist es prinzipiell möglich, daß in jedem dieser Chips ein Rootkit sitzt.
0
SchaubFD21.09.15 10:56
@iGod, owunder kann hier nichts mehr schreiben. Laut einer Antwort an mich - ich kenne ihn persönlich - wurde er wegen zu viel Kritik an Apple von MTN rausgeworfen. Es ist hier wohl besser Apple Schleimerei zu betreiben.
0
gritsch21.09.15 10:58
senf_3
TerenceHill
senf_3

Apple's System ist das sicherste auf dem Markt. Nur jedes System hat seine Schwachstellen, wenn man mit krimineller Energie nach einer Lücke sucht.

Das stimmt. Aber viele behaupteten bislang, dass gerade solche Szenarien durch den Appstore vermieden würden. Sich hinterher hinzustellen und lässig zu sagen, mit so etwas muss man grundsätzlich rechnen, ist dreist.

sorry, aber was ist denn nun passiert? nichts! das sind doch ganz normale funktionen welche eh die meisten apps schon von haus aus mitbringen. also auslesen um welches system es sich handelt, welche sprache verwendet wird und das dann an einen server geschickt wird. ist ja nichts verbotenes daran. warum sollte apple das also ablehenen? dass diese funktion von den entwicklern nicht gewollt war, kann apple doch nicht erahnen.
0
jogoto21.09.15 11:20
SchaubFD
Es ist hier wohl besser Apple Schleimerei zu betreiben.
Nein, es ist besser Fragen zu beantworten und Probleme zu lösen. Immer zu wiederholen wie scheiße Apple ist löst aber nichts.
0
MetallSnake
MetallSnake21.09.15 11:22
gfhfkgfhfk
Wenn man sicher gehen will, daß nichts häßliches zurückbleibt muß man das Handy wegwerfen, da man als normaler Anwender nicht in der Lage ist Rootkits zu löschen die sich in der Firmware eingenistet haben. Da es mittlerweile diverse Chips mit Firmware gibt, ist es prinzipiell möglich, daß in jedem dieser Chips ein Rootkit sitzt.

Die Malware kann aber nichts was andere Apps nicht auch können.
Die Malware kann nicht aus der Sandbox ausbrechen, und schon gar nicht Firmware verändern.
Die Menschheit ist eine völlig außer Kontrolle geratene Primatenspezies.
0
SchaubFD21.09.15 11:26
@jogoto, da gebe ich dir Recht. Ich möchte auch, dass Apple seine Produkte Top hat, das hilft uns allen. Leider muss man auch mal Kritik äußern. Mir selbst ist es auch lieber mit Tipps und Erfahrung antworten zu können. Ich vermisse derzeit etwas die Mac Zeit zwischen 2003 und 2008.
0
Schweizer
Schweizer21.09.15 11:45
MetallSnake
gfhfkgfhfk
Wenn man sicher gehen will, daß nichts häßliches zurückbleibt muß man das Handy wegwerfen, da man als normaler Anwender nicht in der Lage ist Rootkits zu löschen die sich in der Firmware eingenistet haben. Da es mittlerweile diverse Chips mit Firmware gibt, ist es prinzipiell möglich, daß in jedem dieser Chips ein Rootkit sitzt.

Die Malware kann aber nichts was andere Apps nicht auch können.
Die Malware kann nicht aus der Sandbox ausbrechen, und schon gar nicht Firmware verändern.

Na dann gibt es ja keinen Grund zur Sorge, verstehe jetzt nur nicht wieso Apple die Apps dann überhaupt gelöscht hat. Die Malware kann ja nichts.
0
Hannes Gnad
Hannes Gnad21.09.15 12:51
Schweizer
Na dann gibt es ja keinen Grund zur Sorge, verstehe jetzt nur nicht wieso Apple die Apps dann überhaupt gelöscht hat. Die Malware kann ja nichts.
Ein Einbruch in die Privatsphäre, das Abgreifen von persönlichen Daten und das eventuelle Abzocken von Anmeldedaten für Dienste, das ist schon ziemlich was. Vielleicht nicht gefährlich für das Gerät und das OS, aber für den Benutzer und seine Daten.

Selbstverständlich sollte man sich über so was Sorgen machen, und Apple wie Entwickler sollten alles daran setzen, daß so was in Zukunft nicht mehr verkommt bzw. zumindest minimiert wird.
0
senf_321.09.15 13:33
TerenceHill
senf_3

Wer hat diese lässige Aussage getroffen?
Richtig ist jedoch, dass es eine Frage der Zeit war. Alle Größe Unternehmen werden Opfer solcher kriminellen Angriffe. Das beste Beispiel ist Sony PSN Network. Ein Angriff in dieser Dimension war gänzlich neu. Und es wird sie immer geben. Leider.

Wer diese Aussage getroffen hat? Hier im Forum einige, über all die Jahre verteilt.
Natürlich kann so ein Angriff passieren. Habe und werde ich nicht bestreiten. Was mich ärgert - Apple hat den Store als Sicherheitsgarantie für saubere Software dargestellt. Software die aus anderen Quellen installiert werden soll, wird mit Warnhinweisen 'begleitet '. Die "Experten " hier haben oberschlau darauf verwiesen, dass man natürlich nur im Store Software laden dürfe, alle anderen Quellen wären unsicher.
0
gfhfkgfhfk21.09.15 13:43
MetallSnake
Die Malware kann nicht aus der Sandbox ausbrechen, und schon gar nicht Firmware verändern.
Du kennst alle Exploits für iOS?
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.