Sicherheitsforscher: Hot-Patching-Tools machen iOS-Apps verwundbar

Um Updates sofort auszuliefern und die üblichen Wartezeiten bei der App-Store-Zulassung zu vermeiden, setzen manche Entwickler auf Techniken zur eigenhändigen Fernaktualisierung der App – und gefährden damit ihre Nutzer.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Sicherheitsforscher: Hot-Patching-Tools machen iOS-Apps verwundbar

(Bild: FireEye)

Lesezeit: 2 Min.
Von
  • Leo Becker

Entwickler nutzen verstärkt Techniken, die das direkte Einschleusen und Ausführen von Code in iOS-Apps ermöglichen, warnt die Sicherheitsfirma FireEye. Da vor der App-Store-Freigabe auch der kleinste Bugfix von Apple geprüft wird und die Wartezeit bis zur Veröffentlichung mitunter mehrere Tage beträgt, haben sich Entwickler nach derartigen Alternativen umgesehen.

Inzwischen gebe es eine Reihe von Tools, die ein "Hot Patching" erlauben: Das von den Sicherheitsforschern untersuchte quelloffene Projekt JSPatch erlaubt etwa das Beziehen und Ausführen von JavaScript-Code von einem Server – dadurch lassen sich Module hinzufügen oder Objective-C-Code zur Fehlerbeseitigung ersetzen, erklären die Entwickler. "In den richtigen Händen" lässt sich das Tool zur effektiven Fehlerbehebung verwenden, merkt FireEye an.

Zugleich stellt derartige Software aber eine Schwachstelle dar, weil die Updates an der üblichen Kontrolle des Plattformbetreibers vorbei ausgeliefert werden. Ein Angreifer sei damit etwa in der Lage, eine harmlose App im App Store zu veröffentlichen und dann beliebige Frameworks nachzuladen. Dazu gehöre auch der Zugriff auf undokumentierte Schnittstellen (“private APIs”), den Apple grundsätzlich untersagt. Dadurch wird es laut FireEye beispielsweise möglich, die Fotodatenbank des Nutzers unbemerkt auszulesen und auf einen Server hochzuladen oder den Inhalt der Zwischenablage zu “klauen”.

Sollte ein Werbenetzwerk ein derartiges Tool in das eigene SDK integrieren, könne es anschließend Manipulationen an zahlreichen Apps durchführen, die den Code zur Anzeige von Bannern integriert haben. Auch die Verwendung von JSPatch durch “legitime Entwickler” stellt ein Problem dar, so die Sicherheitsforscher: Ist die Kommunikation zwischen App und Server nicht richtig abgesichert, ermöglicht dies einem Angreifer etwa in einem öffentlichen WLAN, eigenen Schadcode einzuschleusen.

Der Analyse der Sicherheitsfirma zufolge gibt es derzeit 1220 Apps im App Store, die JSPatch einsetzen. Das Tool sei insbesondere bei chinesischen Entwicklern beliebt und auch in populären Apps zu finden. Bösartige Apps, die JSPatch bereits aktiv ausnutzen, hat FireEye bisher aber nicht gefunden.

Apple untersagt Apps das Nachladen von Code grundsätzlich. Die JSPatch-Entwickler erachten ihr Tool dennoch als regelkonform, da das Laden von Skripten und Code mit Apples WebKit-Framework oder JavaScriptCore erlaubt ist – solange die Skripte die Funktion der App nicht verändern. Ob Apple Apps mit JSPatch und ähnlichen Hot-Patching-Tools künftig die Zulassung zum App Store verweigert, bleibt vorerst unklar. (lbe)