"Maskierte Apps": Apple veröffentlicht Sicherheitsrichtlinien für App-Installation

Mit Enterprise-Zertifikaten signierte Apps lassen sich am App Store vorbei auf iOS-Geräten installieren. Angreifer können das nutzen, um Apps durch manipulierte Versionen zu ersetzen. Mit Tipps will Apple Nutzer für Malware sensibilisieren.

In Pocket speichern vorlesen Druckansicht 29 Kommentare lesen
"Maskierte Apps": Apple veröffentlicht Sicherheitsrichtlinien für App-Installation

Der Trojaner WireLurker nutzt ebenfalls ein Enterprise-Zertifikate, um iOS-Apps einzuschmuggeln

(Bild: Palo Alto Networks)

Lesezeit: 2 Min.
Von
  • Leo Becker

Apple hat Sicherheitsrichtlinien für die Installation von iOS-Apps veröffentlicht, die nicht aus dem App Store bezogen werden. Derartige mit einem Enterprise-Zertifikat signierte Software sei ausschließlich für Unternehmen und die interne Weitergabe an Mitarbeiter gedacht, andere Nutzer sollten ihre Apps ausschließlich aus dem App Store beziehen, betont der iPhone-Hersteller. Verteilt eine Firma interne Apps, müssten Mitarbeiter darauf achten, dass diese von einer sicheren Seite des Unternehmens heruntergeladen werde – und nicht auf anderen Wegen.

Die Vertrauensfrage beim Öffnen von Apps, die nicht aus dem App Store stammen

(Bild: Apple)

iOS fragt vor der Installation derart signierter Apps einmal nach, ob der Nutzer diese wirklich installieren will – beim ersten Öffnen erscheint zudem der Hinweis, die Software stamme von einem "untrusted" Entwickler. Der Nutzer kann dieser dann sein Vertrauen aussprechen oder dies ablehnen. Sollte der Dialog erscheinen, empfiehlt Apple die Vertrauensfrage stets abzulehnen und die App zu löschen. Stimmt der Nutzer zu, wird die App ausgeführt.

"Installieren Sie niemals Apps von Webseiten Dritter oder über unbekannte Links, selbst wenn der App-Name vertraut erscheint", mahnt Apple – und bezieht sich damit direkt auf ein Angriffsszenario, das unter der Bezeichnung "maskierte Attacke" ("Masque Attack") jüngst für breiteres Aufsehen gesorgt hat: Da die Bundle-ID einer App nicht fest an das Zertifikat eines Entwicklers geknüpft ist, kann ein Angreifer die Signatur entfernen und die Software anschließend selbst neu signieren – benutzt man dafür ein Enterprise-Zertifikat, lässt diese sich auf jedem iOS-Gerät installieren. Wird zudem die Bundle-ID einer bereits bestehenden populären App wie Facebook oder Gmail verwendent, wird diese auf dem Gerät durch die manipulierte Version ersetzt – der Nutzer merkt davon unter Umständen nichts.

Apple seien bislang noch keine derartigen Angriffe bekannt, hatte der Konzern in der Nacht auf Freitag erklärt – konkrete Schritte, die diese Schwachstelle beseitigen, wurden noch nicht angekündigt. Der OS-X- und Windows-Trojaner "WireLurker" hat einen ähnlichen Weg über ein Enterprise-Zertifikat gewählt, um Malware auf angeschlossenen und jailbreak-losen iOS-Geräten zu installieren. (lbe)