iOS-Trojaner nutzt DRM-Lücke für App-Installation

Palo Alto Networks hat einen neuen Trojaner-Angriff entdeckt, bei dem ein Computer-Trojaner einen iOS-Trojaner auf angeschlossene iOS-Geräte installiert und von dort später die Apple ID erbeutet. Für die Installation über den Computer greifen die Trojaner aber nicht auf ein gestohlenes Enterprise-Zertifikat zurück, welches von Apple relativ schnell blockiert werden könnte. Stattdessen wird eine Sicherheitslücke im DRM-System (Digital Rights Management) von Apple ausgenutzt, um die Software über das iTunes-System auf das iOS-Gerät zu installieren.


Der Trojaner auf dem Computer nutzt dafür einen weiterentwickelten "FairPlay Man-In-The-Middle"-Angriff. Dabei wird über eine Apple ID des Angreifers die Wallpaper-App im App Store gekauft und ein gültiges Installationspaket auf dem Computer des Opfers erzeugt. Anschließend wird die App mithilfe des iTunes-Protokolls auf das iOS-Gerät gespielt, wobei das Opfer vom gesamten Vorgang nichts mitbekommt.


Zur Erzeugung des gültigen iOS-Installationspaketes mussten die Angreifer die Trojaner-App durch die App-Store-Prüfung von Apple schleusen. Dies gelang ihnen, indem die vermeintliche Wallpaper-App in einer Region eingereicht wurde, in der kein Angriff auf iOS-Nutzer stattfindet. Im vorliegenden Fall wurde die App in den USA eingereicht, um anschließend auf Nutzergeräte in China installiert zu werden.

Dadurch kann die Wallpaper-App in den USA harmlos erscheinen, während in China über einen Phishing-Angriff die Apple ID samt Kennwort von Nutzern erbeutet wird. Dabei spekulieren die Angreifer auch darauf, dass Apple die App in den USA testet und damit der Angriff unentdeckt bleibt. Damit waren die Angreifer über mehrere Monate hinweg erfolgreich und konnten sogar Updates der Wallpaper-App nachreichen. Nachdem Apple von Palo Alto Networks über den Angriff informiert wurde, verschwanden die Apps aus dem App Store.

Um sich vor einem Missbrauch durch solche Phishing-Angriffe zu schützen, sollte die zweistufige Anmeldung aktiviert werden. Dabei reichen Apple ID und Kennwort für eine Anmeldung nicht mehr aus, sondern müssen zusätzlich über einen Code bestätigt werden, der an eine bestimmte Telefonnummer gesendet wurde. Sollten Nutzer Opfer eines solchen Angriffs sein, ist dennoch die schnellstmögliche Änderung des Kennwortes empfehlenswert. Momentan konzentrieren sich die Angriffe auf Nutzer in China.

Weiterführende Links:

Kommentare

Keine Kommentare vorhanden.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen