Kommentar zur iOS-Malware Wirelurker

Wirelurker: Angriff oder Angriffstest?

| Autor / Redakteur: Udo Schneider* / Peter Schmitz

Die vor Kurzem entdeckte Malware Wirelurker, die OS X- und iOS-Geräte betrifft, hat viel Aufregung verursacht. Mittlerweile gibt es auch eine Windows-Variante der Schadsoftware, die ähnliche Angriffe ausführt. Aber zum Teil scheint die Aufregung etwas übertrieben zu sein.
Die vor Kurzem entdeckte Malware Wirelurker, die OS X- und iOS-Geräte betrifft, hat viel Aufregung verursacht. Mittlerweile gibt es auch eine Windows-Variante der Schadsoftware, die ähnliche Angriffe ausführt. Aber zum Teil scheint die Aufregung etwas übertrieben zu sein. (Bild: VBM)

Zurzeit machen Nachrichten über den Trojaner „Wirelurker“ die Runde, der vor allem Apple-Geräte gefährdet. Insbesondere und zu Recht wird dabei betont, dass der Trojaner Geräte auch ohne Jailbreak infizieren kann. Doch das scheint gar nicht das Ziel der Angreifer gewesen zu sein.

Ein Risiko mit tatsächlicher Malware gab es nur für Geräte, bei denen ein Jailbreak vorlag. Das wahre Problem mit Wirelurker (pdf) besteht weniger in der Bedrohung selbst als vielmehr in Apples Funktionalität des Unternehmens-Provisioning. Gelingt es Apple nicht, diesen Aspekt des Gerätemanagements abzusichern, entsteht dauerhaft ein hohes Bedrohungspotenzial.

Um es gleich vorwegzunehmen: Wirelurker stellt zurzeit keine aktuelle Bedrohung für Apple-Anwender dar. Denn die bekannten Varianten werden von OS X geblockt und die Befehls- und Kontrollserver sind alle vom Netz genommen worden. Vor allem aber hat Apple das gestohlene Zertifikat, das den Angriff erst ermöglichte, zurückgenommen und damit das wirklich Neue an der Bedrohung, nämlich die Installation von Apps auf Geräten ohne Jailbreak, zunichte gemacht.

Der Angriffsweg von Wirelurker verläuft über trojanisierte, also gekaperte Apps, nicht über Sicherheitslücken. Um eine solche App auf Geräten ohne Jailbreak zu installieren, müssen Angreifer und Nutzer das so genannte Unternehmens-Provisioning verwenden, ein Bestandteil des Apple-Managements für mobile Geräte. Es wird normalerweise dazu genutzt, angepasste Apps auf die iOS-Geräte einer Organisation zu installieren.

Bislang liegen meinen Kollegen aus der Bedrohungsforschung allerdings keinerlei Hinweise auf über diesen Weg verbreite Apps vor, die tatsächlich Schadcode enthalten. Es handelt sich bei Wirelurker und den auf Geräten ohne Jailbreak verbreiteten unerwünschten, aber nicht gefährlichen Apps also eher um einen Test für zukünftige Bedrohungsszenarien und weniger um eine echte Attacke.

Das Problem: Unternehmens-Provisioning plus Mensch

Und genau hier liegt das Problem: Sollte es Cyberkriminellen erneut gelingen, legitime Apple-Zertifikate zu stehlen, können sie wieder den Weg über das Unternehmens-Provisioning wählen. Es scheint den Angreifern bei Wirelurker also weit mehr darum gegangen zu sein auszutesten, wie man über Apple-Geräte in Unternehmensnetze eindringen kann, als Privatanwender zu attackieren.

Apple sollte deshalb diesen Teil seines Gerätemanagements überarbeiten, um das Bedrohungs- und Angriffsszenario, das Wirelurker vor Augen geführt hat, in Zukunft unmöglich zu machen. Dies gilt insbesondere für das Glied in der Angriffskette, an dem der Nutzer beteiligt ist. Denn dieser muss explizit seine Einwilligung zur Installation von Apps geben, die über das Unternehmens-Provisioning bereitgestellt werden. Und es dürfte für den Anwender sehr schwer bis unmöglich sein, zwischen guten und schädlichen Apps zu unterscheiden.

Update vom 13.11.2014 - 08:30 Uhr:

Neue Bedrohung: Masque Attack

Wirelurker und Masque Attack sind zur Zeit Angriffe, die nur unter vielen Voraussetzungen wirklich funktionieren. Die meisten dieser Voraussetzungen (Abschaltung von Gatekeeper unter Mac OS X, iOS vertraut »fremdem« Rechner, iOS akzeptiert (gefälschtes) Enterprise-Zertifikat, Ausbruch aus der iOS Sandbox (nur bei Jailbreak), usw.) werden durch bewusste Aktionen des Benutzers geschaffen, mit denen die eingebauten Sicherheitsfunktionen von Mac OS X und iOS ausgehebelt werden, oder gehen darauf zurück, dass Nachfragen des Systems durch den Anwender ignoriert werden. Aber als Proof-of-Concept betrachtet zeigen sowohl Wirelurker als auch Masque Attack Lücken bzw. zukünftige Gefährdungen auf.

Sofern die Benutzer aber die von Apple bereitgestellten Mechanismen nicht mutwillig umgehen, z.B. mittels eines Jailbreaks, besteht aktuell kein Grund zur Panik. Darüber hinaus und selbst wenn sämtliche Voraussetzungen gegeben sind, bleibt festzuhalten: Die Backendinfrastruktur bzw. die Zertifikate, die Wirelurker und Masque Attack nutzen, sind abgeschaltet bzw. zurückgezogen. Aus dieser Perspektive sehen sowohl Wirelurker und Masque Attack nicht wie ein aktiver, großflächiger Angriff aus, sondern gleichen eher einem Proof-of-Concept. Also: Die beiden Bedrohungen sind gefährlich, ja – ein Grund zur Panik besteht indes nicht.

* Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren, mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit. Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43062355 / Sicherheitslücken)