Masque Attacks: iOS-Apps nutzen keine Verschlüsselung

Originalartikel von Brooks Hong, Mobile Threat Response Engineer

Die Bedrohungsforscher von Trend Micro haben herausgefunden, dass die bösartigen Apps, die über die iOS-Bedrohung Masque Attacks installiert werden, ein weiteres Risiko für iOS-Geräte darstellen – sie greifen auf nicht verschlüsselte Daten zu, die von legitimen Apps genutzt werden.

Die Bedrohung nutzt Unternehmens-Provisioning, um intakte (ohne Jailbreak) iOS-Geräte anzugreifen, so wie Wirelurker das tut. Provisioning erlaubt es Unternehmen, selbstentwickelte Apps auf iOS-Geräten zu installieren, ohne dass Apple diese überprüft. Diese Apps werden über iTunes (via USB) an die Mitarbeiter verteilt oder über drahtlosen Transfer aus dem App Store der Firma.

Während Wirelurker gefälschte oder bösartige Apps über USB installierte, führt Masque Attack zu noch ernsteren Schäden, denn die Bedrohung kann installierte Apps über denselben Signierschlüssel oder Bundle-ID mit bösartigen Versionen ersetzen. Die App kann dann Routinen etwa für Datendiebstahl ausführen.

Masque zeigt App-Fehler

Der Test mehrerer Apps hat gezeigt, dass einige der beliebten iOS-Apps keine Datenverschlüsselung für ihre Datenbanken vorsehen. Die Bedrohungsforscher nutzten in der Analyse Datei-Browser, um auf diese Dateien zuzugreifen. Zudem handelte es sich bei den getesteten Apps um solche für Messaging/Kommunikation, und das bedeutet, sie speichern eine Menge sensibler Informationen wie Namen und Kontaktdaten.


Bild 1. Nicht verschlüsselte Datenbank in einer Instant Messaging (IM)-App

Das Bild zeigt, dass ankommende und abgehende Nachrichten in einer beliebten IM-App nicht verschlüsselt sind. Jede auf Informationsdiebstahl ausgerichtete Malware kann einfach die Nachrichten nach Informationen absuchen. Das gleiche Ergebnis zeigt Bild 2 für einen beliebten chinesischen E-Mail App-Client:

Bild 2. Nicht verschlüsselte E-Mail in chinesischem E-Mail-Client

Auch der Blick auf eine weitere beliebte Messaging-Apps zeigt, dass die Nachrichten und die Kontaktlisten nicht verschlüsselt sind.

Bild 3. Nicht verschlüsselte Nachricht

Bild 4. Nicht verschlüsselte Kontaktliste

Für obige App wurde kürzlich die Implementierung on End-to-End-Verschlüsselung angekündigt. In der Android-Version ist sie bereits erfolgt, iOS soll bald folgen.

Android verschlüsselt

Dieselbe App-Kategorie mit Android nutzt verschlüsselte Datenbanken. Angreifer müssten diese erst entschlüsseln, um auf die Daten zugreifen zu können.

Bild 5. Verschlüsselte Daten für Android-Apps für chinesische IM-App (oben) und lokaler E-Mai-Client in China (unten) 

Wahrscheinlich sind die Android-Versionen deshalb verschlüsselt, weil die meisten mobilen Bedrohungen dieses Betriebssystem zum Ziel haben.

Öffentlich genutztes Enterprise Provisioning

Vielleicht ist Masque Attack auch deshalb eine größere Bedrohung, weil Enterprise Provisioning derzeit von App Sites der Drittanbieter genutzt wird, vor allem in China.

Bild 6. Nutzer, die Apps über Enterprise Provisioning installieren, sehen obige Benachrichtigung

Einer der chinesischen Drittanbieter-App Stores hat sogar Offline-Terminals entwickelt, die eine kostenlose Installatiion von Apps auf Android- und iOS-Geräten liefert, wobei die Installation auf iOS-Geräten über Enterprise Provisioning läuft. Diese Terminals stehen in belebten Bereichen wie Flughäfen oder Kinos.

Schutz für iOS-Geräte

WireLurker und Masque Attack haben gezeigt, dass die mobilen Bedrohungen iOS-Geräte nicht verschonen, auch wenn sie vielleicht nicht für alle mobilen Bedrohungen attraktiv sind.

Deshalb sollten Apple-Nutzer den Download von Apps möglichst über iTunes oder App Store durchführen. Auch müssen sie darauf achten, dass ihre Geräte immer auf aktuellem Stand sind.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.