14.08.2014, 12:53 Uhr
Achilles-Ferse in der iOS-Sicherheit
Forscher haben eine markante Lücke in der Sicherheit von iPhones aufgedeckt. Sie konnten über simple USB-Verbindungen Malware-Apps auf die Smartphones laden.
Fünf Forscher des Georgia Institute of Technology haben eine Schwachstelle im Sicherheits-Konzept von iOS entdeckt, die eine Achilles-Ferse der iPhone-Security darstellt. Ihnen ist es nämlich gelungen, iPhones Malware-Apps unterzuschieben, und zwar wenn die Smartphones via USB mit einem Computer verbunden werden.
Dabei werden keine Software-Fehler in iOS ausgenutzt. Vielmehr haben die Forscher eine Schwachstelle, respektive einen Work-Around im Design der iOS-Absicherung von Apple entdeckt.
«Unserer Meinung nach, hat Apple der USB-Verbindung zu sehr vertraut», folgert Tielei Wang, einer der Autoren der Studie, welche nächste Woche am Usenix Security Symposium in San Diego präsentert werden soll.
Voraussetzung für die Installation ist ein mit Malware verseuchter Mac oder PC. Über diesen ist die von Wang und seinen Kollegen entdeckte Man-in-the-middle-Attacke möglich.
Grundproblem für Hacker von iOS ist, dass Anwender sich mit einer Apple ID angemeldet haben müssen, um Software auf ihren Geräten zu installieren. Die App muss dabei nicht unbedingt aus dem App Store stammen, sie kann auch von ausserhalb kommen. Bedingung ist lediglich eine gültige digitale Signatur von Apple. Allerdings ist Apple sehr sorgfältig, wenn es darum geht, Software zuzulassen.
Deshalb haben die Wissenschaftler sich einen anderen Weg ausdenken müssen, um die Sicherheits-Checks von Apple zu umgehen. Neben regulären Zertifikaten, stellt Apple Entwicklern spezielle Developer Certificates aus. Diese erlauben es den Programmierern, für interne Zwecke Apps zu verteilen und diese selbst-signiert zu installieren.
###BILD_46870_left###Wangs Team ist es nun gelungen, ein solches Entwickler-File auf ein iOS-Gerät zu schmuggeln, das via USB an einen Computer angeschlossen wird. Dabei sieht das Opfer keine Warnung. Somit lässt sich auch bösartige Software installieren. Und schlimmer: Die Forscher konnten legitime Apps aus dem App Store durch gleich aussehende Malware-Programme ersetzen.
«Der ganze Prozess kann ohne das Wissen des Anwenders geschehen», warnt Wang.
Allerdings haben die Forscher Apple bereits vor einiger Zeit über die Problematik informiert, wodurch die iPhone-Herstellerin bereits einige Veränderungen vorgenommen habe. Eine dieser Änderungen besteht in einer Warnmeldung, die jedesmal erscheint, wenn ein iOS-Gerät mit einem Computer zum ersten Mal verbunden wird. In dieser wird der Anwender darauf hingewiesen, dass man sein iPhone nur mit einem bekannten und vertrauenswürdigen PC oder Mac verbinden sollte.
Entwarnung will Wang nicht geben. Sein Team hat noch weitere schwache Punkte entdeckt bei der Verbindung von iOS-Geräten via USB. So wird das Gerät nicht nur via iTunes verbunden sondern auch über das Protokoll «Apple File Connection», das etwa für den Transfer von Bild- und Musik-Dateien genutzt wird. Das Protokoll habe laut Paper der Forscher auch Zugang zu sicheren Cookies in diversen Apps. iOS verhindere zwar, dass die Apps einander die Cookies auslesen. Via Desktop-PC gelinge der Ausstausch aber. Der simple Tipp von Wang lautet daher: «Verbinden Sie ihr iPhone einfach nicht mit einem Computer, zumal dann nicht, wenn Sie an dessen Integrität zweifeln».
Dabei werden keine Software-Fehler in iOS ausgenutzt. Vielmehr haben die Forscher eine Schwachstelle, respektive einen Work-Around im Design der iOS-Absicherung von Apple entdeckt.
«Unserer Meinung nach, hat Apple der USB-Verbindung zu sehr vertraut», folgert Tielei Wang, einer der Autoren der Studie, welche nächste Woche am Usenix Security Symposium in San Diego präsentert werden soll.
Voraussetzung für die Installation ist ein mit Malware verseuchter Mac oder PC. Über diesen ist die von Wang und seinen Kollegen entdeckte Man-in-the-middle-Attacke möglich.
Grundproblem für Hacker von iOS ist, dass Anwender sich mit einer Apple ID angemeldet haben müssen, um Software auf ihren Geräten zu installieren. Die App muss dabei nicht unbedingt aus dem App Store stammen, sie kann auch von ausserhalb kommen. Bedingung ist lediglich eine gültige digitale Signatur von Apple. Allerdings ist Apple sehr sorgfältig, wenn es darum geht, Software zuzulassen.
Deshalb haben die Wissenschaftler sich einen anderen Weg ausdenken müssen, um die Sicherheits-Checks von Apple zu umgehen. Neben regulären Zertifikaten, stellt Apple Entwicklern spezielle Developer Certificates aus. Diese erlauben es den Programmierern, für interne Zwecke Apps zu verteilen und diese selbst-signiert zu installieren.
###BILD_46870_left###Wangs Team ist es nun gelungen, ein solches Entwickler-File auf ein iOS-Gerät zu schmuggeln, das via USB an einen Computer angeschlossen wird. Dabei sieht das Opfer keine Warnung. Somit lässt sich auch bösartige Software installieren. Und schlimmer: Die Forscher konnten legitime Apps aus dem App Store durch gleich aussehende Malware-Programme ersetzen.
«Der ganze Prozess kann ohne das Wissen des Anwenders geschehen», warnt Wang.
Allerdings haben die Forscher Apple bereits vor einiger Zeit über die Problematik informiert, wodurch die iPhone-Herstellerin bereits einige Veränderungen vorgenommen habe. Eine dieser Änderungen besteht in einer Warnmeldung, die jedesmal erscheint, wenn ein iOS-Gerät mit einem Computer zum ersten Mal verbunden wird. In dieser wird der Anwender darauf hingewiesen, dass man sein iPhone nur mit einem bekannten und vertrauenswürdigen PC oder Mac verbinden sollte.
Entwarnung will Wang nicht geben. Sein Team hat noch weitere schwache Punkte entdeckt bei der Verbindung von iOS-Geräten via USB. So wird das Gerät nicht nur via iTunes verbunden sondern auch über das Protokoll «Apple File Connection», das etwa für den Transfer von Bild- und Musik-Dateien genutzt wird. Das Protokoll habe laut Paper der Forscher auch Zugang zu sicheren Cookies in diversen Apps. iOS verhindere zwar, dass die Apps einander die Cookies auslesen. Via Desktop-PC gelinge der Ausstausch aber. Der simple Tipp von Wang lautet daher: «Verbinden Sie ihr iPhone einfach nicht mit einem Computer, zumal dann nicht, wenn Sie an dessen Integrität zweifeln».