Manipulierte Entwicklungsumgebung: Xcode-Malware war enorm verbreitet

Im Verfahren Epic gegen Apple kam heraus, dass 2015 fast 130 Millionen iPhone-Nutzer von "XcodeGhost" betroffen waren – in über 2500 Apps.

In Pocket speichern vorlesen Druckansicht 73 Kommentare lesen

Angreifer hatten die Entwicklungsumgebung Xcode selbst attackiert – und gehackte Versionen verbreitet.

(Bild: Apple)

Lesezeit: 3 Min.

Ein besonders perfider Datenschädling, der vor sechs Jahren auf dem iPhone kursierte, hatte eine erstaunlich hohe Verbreitung. Genaue Zahlen zu "XcodeGhost", einer Malware, die über eine manipulierte Version von Apples eigener Entwicklungsumgebung Xcode auf die Geräte kam, waren zum Bekanntwerden im September 2015 nicht zu bekommen. Doch Apple hatte diese durchaus, wie interne E-Mails belegen, die im Verfahren zwischen dem iPhone-Konzern und Epic Games nun aufgetaucht sind.

Demnach erreichte "XcodeGhost", der bislang größte iPhone-Angriff aller Zeiten, zusammengenommen 128 Millionen User über mehr als 2500 verschiedene infizierte Apps. Apple hatte intern abgewogen, ob man "aufgrund der großen Anzahl von potenziell betroffenen Kunden" allen von ihnen eine E-Mail schicken sollte. Letztlich entschied sich der Konzern für die Information und publizierte eine "Top 25" der populärsten betroffenen Apps. Malware-Entwicklern in China war es zuvor gelungen, zahlreiche Developer davon zu überzeugen, die Fake-Version der Entwicklungsumgebung Xcode zu verwenden, die wiederum Schadcode in fertige Apps integrierte. Apple selbst merkte davon bei seinen Sicherheitsüberprüfungen nichts.

In einer der internen Apple-E-Mails hieß es, die betroffenen 128 Millionen Kunden hätten 203 Millionen Downloads der betroffenen Apps durchgeführt. 55 Prozent der Betroffenen saßen in China, dort fanden auch 66 Prozent der Downloads statt. Allerdings kamen 18 Millionen "XcodeGhost"-Geschädigte aus den Vereinigten Staaten von Amerika. Apple versuchte dann, ein Werkzeug anzupassen, um allen Nutzern die korrekten Namen der betroffenen Apps mailen zu können. Das Herausschicken der Mails sollte bis zu einer Woche dauern.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Eine offizielle Angabe dazu, wie viele User wirklich betroffen waren, mache Apple 2015 nicht. Potenziell sollen sogar 500 Millionen Nutzer angreifbar gewesen sein. "XcodeGhost"-Code steckte in populären Apps insbesondere aus China, da die manipulierte Xcode-Version vor allem dort kursierte – sie war als Download auf lokalen Servern gelagert, die schneller erreichbar waren als Apples eigene. Die Malware steckte etwa in WeChat, Didi Taxi oder der chinesischen Version von "Angry Birds 2".

Apple betonte bei Bekanntwerden, man habe "keine Informationen", dass die Malware jemals für böswillige Zwecke eingesetzt oder persönliche Daten gestohlen worden seien. Sie sammelte jedoch mindestens die vorhandenen Apps auf dem Gerät, Details zum aktuellen Netzwerk, Gerätenamen und Gerätetypen. Ryan Olson von Palo Alto Networks, der die Lücke mitentdeckt hatte, sagte gegenüber Mac & i, man wisse noch nicht, welche Routinen von den Angreifern genutzt wurden. Zwar sei Apples schützende Sandbox auch für die Apps mit der Malware aktiv, doch seien etwa Phishing-Versuche denkbar. Für Apple und seine Nutzer war die Affäre ein Weckruf. (bsc)