App Store von Apple als Schadcode-Verteiler missbrauchen
Phishing-Trick: Über eine Schwachstelle im Abrechnungs-System von Apples App Store und iTunes sind Angreifer in der Lage, Schadcode in offizielle Rechnungs-E-Mails zu schmuggeln.
Online-Kriminelle können Apples App-Store- und iTunes-Server, die für die Abwicklung von Einkäufen zuständig sind, ausnutzen, um ihre Identität zu verschleiern und so Phishing-Angriffe fahren. Dabei soll es aufgrund einer unzureichenden Überprüfung seitens Apple möglich sein, beliebigen Schadcode in Rechnungen zu schmuggeln. Über diesen Weg sollen Angreifer etwa Sessions übernehmen und Nutzer beliebig umleiten können, beschreibt der Entdecker der Lücke Benjamin Kunz Mejri vom Vulnerability Lab.
Als Einfallstor diene dabei das Textfeld für den Gerätenamen eines iPads oder iPhones, welcher in jeder Rechnung auftaucht. An dieser Stelle ist es Mejri zufolge möglich Code einzufügen, der dann im Zuge der Rechnungserstellung 1:1 übernommen wird.
Schadcode im Namen von Apple
Apple versendet die Mail mit der Rechnung neben dem Käufer auch an den Verkäufer. An dieser Stelle ist es Mejri zufolge vorstellbar, dass der Schadcode vom Verkäufer fälschlicherweise noch an weitere Nutzer verteilt wird. Aufgrund der offiziellen Absenderadresse @email.apple.com könnten Opfer durchaus auf die präparierte E-Mail reinfallen.
Die Beleg-Email kommt im HTML-Format daher und der Schadcode befindet sich in einem Iframe. In der Regel blocken Mail-Programme aber Skripte. Dennoch könnte es Szenarien geben, in denen der Schadcode automatisch ausgeführt wird.
Der Entdecker der Lücke hat Apple im Juni dieses Jahres über die Schwachstelle informiert. Die unzureichende Überprüfung des Gerätenamens wurde aber noch nicht gefixt. (des)
