Schlagwort-Archive: iPhone

Mobile Apps bedürfen der gleichen Sicherheit wie Browser

Originalartikel von David Sancho, Senior Threat Researcher

Im Grunde genommen sind mobile Anwendungen “Browser in einer Box”. Für diese Behauptung spricht einiges: Öffnet der Anwender eine App, so ist die Wahrscheinlichkeit hoch, dass sie versucht, auf eine bestimmte Webseite zuzugreifen und die Ergebnisse in irgendeiner Art und Weise darstellt. Nicht nur Anwendungen wie Amazon oder eBay verhalten sich wie Browser (die solche Anfragen auf ihre eigenen Server einschränken), sondern auch Apps wie Flipboard, das „Soziale Nachrichtenmagazin“ für iPad und iPhone, greifen im Prinzip lediglich auf Facebook und Twitter zu, um die Ergebnisse auf eine sehr hübsche Weise darzustellen.

Macht dies Apps angreifbarer für Verhaltensweisen, die reguläre Browser von den Nutzern erwarten? Führt beispielsweise eine App eingeschränkte Anfragen an eine einzelne Site aus, so könnte doch ein Angreifer dieses Verhalten für die Kompromittierung der App oder Site missbrauchen.

Mithilfe einer Testumgebung, die den an- und ausgehenden Verkehr von mobilen Anwendungen – sowohl Android als auch iPhone/iPad – überwachte, wollte der Autor herausfinden, ob Apps tatsächlich wie Browser abzusichern sind. Die Suche nach ausnutzbaren Mechanismen oder Lücken war erfolgreich. Unter anderem gibt es ein Spiel, das immer wieder Kennwörter vergibt und ändert, um den Spielern den Zugang zu neuen Ressourcen zu öffnen. Diese Kennwörter aber werden als unverschlüsseltes http angefordert und gesendet. Einen Angriff auf die involvierten Server zu fingieren war ein Kinderspiel! Die klare Schlussfolgerung: unverschlüsselte, vorgefertigte http-Übertragungen sind nicht vertrauenswürdig. Auch weitere Probleme mit verschiedenen Anwendungen traten zutage: Eine App, die regelmäßig XML-Dateien mit Links zu Bildern und Audio-Dateien verschickt, tat dies ebenfalls in reinem Text über unverschlüsseltes http.

Die entdeckten Probleme waren jedoch so vielfältig, dass es schwierig wurde, dieses Projekt von jedem anderen Webanwendungs-Penetrationstest abzugrenzen. Das heißt, die Clients sind mobile Anwendungen, doch eigentlich bezogen sich die Nachforschungen auf den unsicheren Webcode eines Entwicklers.

Fazit: Die Anfangsthese stimmt: Alle mobilen Apps sind Webclients und daher genauso so unsicher wie ein Browser – und wie ein Browser müssen sie auch gesichert sein.

 

 

Malvertising für das iPhone

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA

Betrüger versuchen schon wieder, die Gutgläubigkeit der Nutzer auf Facebook zu versilbern. Diesmal haben sie iPhone-Besitzer im Visier, in deren Facebook-Konto ein „Freund“ ein besonders witziges Bild mit dem User teilen will. Klickt der Ahnungslose auf das Bild, wird er auf eine Webseite umgeleitet und dort darüber informiert, dass er an einer Apple-Verlosung teilnehmen kann. Da nur ein OK-Button verfügbar ist, ist er gezwungen, fortzufahren. Nach der Auswahl des gewünschten Preises (Kindle Touch, iPhone 4S oder iPad 2) soll er dann an einem Quiz teilnehmen. Das dies kostenpflichtig ist, erfährt der User allerdings nur, wenn er ganz unten auf der Seite das Kleingedruckte liest. Einzelheiten zum Ablauf können Interessierte im Original-Blog nachlesen.

Die Aktion zeigt, dass die Kriminellen – wie von Trend Micro vorhergesagt – legitime Dienste missbrauchen, um Geld zu verdienen. Auch ist sie ein erneuter Beweis dafür, dass Cyberkriminelle ihre Geschäfte auch ohne Malware und infizierte Geräte durchführen können und dies auch skrupellos tun. Nutzer sind gut beraten, größte Vorsicht walten zu lassen, bevor sie ein Bild oder verdächtige Nachrichten anklicken.

Achtung: Billige iPhone 4S-Angebote bei eBay sind Betrug

Originalartikel von Paul Pajares, Fraud Analyst

Wer ein kostengünstiges iPhone 4S bei eBay kaufen will, sollte vorsichtig sein. Cyberkriminelle könnten Interessierte dazu verleiten, ihre Online-Finanzdaten preiszugeben. Trend Micro hat einen Phishing-Angriff auf potenzielle Käufer von iPhones 4S bei eBay entdeckt.

Der Angriff nutzt Domänen, die betrügerische Kopien von eBay-Angeboten für solche Geräte umfassen. Folgender Screenshot zeigt ein Beispiel einer gefälschten Seite und dazu das originale eBay-Angebot, dessen Inhalt kopiert wurde.

Es gibt Unterschiede zwischen den beiden Seiten. Beispielsweise ist der Preis im echten Angebot in Dollar angegeben, während die Fälschung Euro anzeigt. Auch ist der Preis in der Fälschung bedeutend niedriger. Die Kriminellen nutzen für ihre Zwecke das Angebot eines Verkäufers mit einer guten Reputation, um das Vertrauen von potenziellen Opfern zu gewinnen.

Die gefälschten Seiten werden auf Domänen gehostet, die /www.ebay.ie/ enthalten, um den Anschein einer echten eBay-Domäne zu erwecken. Alle Links führen auf die echte Seite, ausgenommen natürlich “Buy It Now“. Dieser Button führt zu einer gefälschten Login-Seite, wo der Nutzer seine persönlichen Daten angeben muss.

Danach wird der Nutzer auf eine andere Seite weitergeleitet, auf der er aufgefordert wird, den Verkäufer über E-Mail zu kontaktieren, damit die Transaktion abgeschlossen werden kann.

Dies ist sicherlich nicht die Art und Weise, wie Verkaufstransaktionen bei eBay ablaufen, sondern ein Betrugsversuch, um an das Geld und die persönlichen Informationen der Opfer zu kommen. Und es ist nicht der einzige Angriff während der Weihnachtszeit. Kriminelle setzen auch gefälschte elektronische Weihnachtskarten oder soziale Netzwerke ein, um Malware zu verbreiten.

Weitere Informationen liefert das E-Book “Season’s Warnings” und „Sicheres Online-Shopping leicht gemacht“.

iPhone Jailbreak nutzt iOS-Lücke

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

In dieser Woche hat ein Entwickler, bekannt unter dem Namen “Comex”, einen so genannten Jailbreak für Apples iPhone 4 veröffentlicht. Man spricht von Jailbreaking, wenn Nutzer das Betriebssystem ihres iPads, iPhones oder des iPod Touch Geräts modifizieren, um Anwendungen ablaufen zu lassen, ohne über Apples App Store zu gehen. Nutzer können nun über eine spezielle Website ihre Geräte viel einfacher manipulieren, als es bisher möglich war. Außerdem funktioniert jetzt Jailbreaking nicht nur mit dem iPhone 4, sondern auch bei älteren Produkten, in denen iOS läuft.

Bekannte Apple-Sicherheitsforscher wie Charlie Miller zeigten sich von der Qualität de Jailbreak beeindruckt. Der Jailbreak nutzt zwei unterschiedliche Sicherheitslücken aus. Die eine liegt in der Art und Weise, wie der Safari-Browser mit pdf-Dateien umgeht. Diese Dateien können speziell aufgesetzte Fonts enthalten, die eine willkürliche Ausführung von Code ermöglichen. Diese Lücke scheint in Zusammenhang mit einer ähnlichen in Mac OS X zu stehen, die im März geschlossen wurde. Eine zweite Lücke wird genutzt, um höhere Privilegien auf dem Gerät zu erlangen, doch Details dazu sind öffentlich nicht verfügbar. Dieselben Techniken für Jailbreaking können auch von böswilligen Nutzern angewendet werden, um Malware auf iOS-Geräte zu schieben. Trend Micro hat die für Angriffe genutzten pdf-Dateien als TROJ_PIDIEF.HLA erkannt. Obwohl bislang noch keine bösartige Payload mit dieser Datei in Verbindung steht, lässt sie sich doch für böswillige Aktivitäten nutzen. Apple hat auch noch nicht offiziell dazu Stellung genommen.

Anwender können Trend Micros Smart Surfing for iPhone nutzen, um sich gegen bösartige Websites, einschließlich derer gegen iOS-Geräte gerichteten, zu schützen. Die Site mit dem Jailbreaking Code beispielsweise wird derzeit folgendermaßen geblockt: