Malware in Apples App-Store ist größeres Problem

In Apples App-Store sind oder waren viel mehr Apps mit Schadcode infiziert als zunächst angenommen. Apple macht dazu keine Angaben. Ein angebliches Bekennerschreiben stellt den Hergang erschreckend banal dar.

In Pocket speichern vorlesen Druckansicht 408 Kommentare lesen
Datenschutz, Netzwerk, Sicherheit

(Bild: United States Department of State)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Zahlreiche professionelle App-Entwickler haben eine veränderte Version des iOS-App-Compilers Xcode eingesetzt. Er heißt XcodeGhost und infiziert die damit kompilierten Apps mit Malware. Diese Apps haben es in Apples offiziellen App-Store geschafft. Nicht nur, wie zunächst angenommen, zu Dutzenden, sondern zu Hunderten.

Apples Hotnews zeigen neue Handys, Infos zum Sicherheitsproblem fehlen.

(Bild: dpa, Peter Kneffel)

Zwar wurde XcodeGhost vorwiegend von chinesischen Entwicklern verwendet, doch schreiben diese auch Apps für den internationalen Markt. Auf Apples Webseiten sucht man nach wie vor vergeblich nach Informationen zu dem Sicherheitsproblem. Dabei hatte das Chinesische Computer Emergency Response Team (CNCERT) bereits am vergangenen Dienstag eine offizielle Warnung veröffentlicht. Der Schadcode zapfe Daten ab und enthalte Routinen zur Fernsteuerung der infizierten Geräte, heißt in der Mitteilung.

Diese Warnung soll auf eine Entdeckung von Tencent zurückgehen. Die Firma hatte bei ihrer App WeChat verdächtigen Traffic bemerkt. WeChat ist der größte Instant Messaging Dienst der Welt. Hatte Palo Alto Networks zunächst von mindestens 39 infizierten Apps gesprochen, ist dessen Liste inzwischen auf mehr als das Doppelte angeschwollen.

Das chinesische Staatsfernsehen CCTV soll am Sonntag von über 350 betroffenen Apps berichtet haben. Das chinesische Software-Unternehmen Qihoo360 soll den Täter identifiziert und die Polizei informiert haben.

Das Bekennerschreiben.

(Bild: XcodeGhost-Autor)

Auf Weibo, dem größten chinesischen Social Network, ist am Samstag (Ortszeit) unter dem eigens eingerichteten Account @XcodeGhost-Autor ein Bekennerschreiben gepostet worden. Ob der Verfasser wirklich den infizierten Compiler in Umlauf gebracht hat, ist unklar.

Der Text beginnt mit einer Entschuldigung für die verursachte "Verwirrung". Dann heißt es, dass die Programmierung von XcodeGhost bloß ein Versuch gewesen sei. Der Täter hat sich offenbar zu Nutze gemacht, dass Apples echter Xcode-Compiler Programmteile lädt, ohne sie zu überprüfen. Also hat der Täter eine eigene Bibliothek hinzugefügt und das Gesamtpaket online gestellt.

Von den infizierten Geräten soll der Täter folgende Informationen abgesaugt haben: Name und Version der Anwendung, Systemversion, eingestellte Sprache und das Land, Identität des Entwicklers, Installationszeit der App, sowie Gerätename und -typ. Vor etwa zehn Tage will er alle gesammelten Daten gelöscht haben.

Zwar sei in seinem Code auch eine Funktion zur Bewerbung seiner eigenen App enthalten, doch habe er diese Funktion nicht aktiviert. Zum Abschluss entschuldigt sich der Verfasser noch einmal und wünscht "ein schönes Wochenende".

Erschreckend ist, mit welch banalen Methoden Millionen Geräte infiziert werden können, und wie lange es dauert, bis Gegenmaßnahmen greifen. Der Schaden hätte viel, viel größer Ausfallen können. Nun ist davon auszugehen, dass professionellere Täter versuchen werden, ähnliche Angriffe zu lancieren. Die Entwickler betätigen sich nichtsahnend als Virenschleudern. Um die Entdeckungsgefahr zu reduzieren, könnten die mit Schadcode versehenen Apps auch erst einmal wochen- oder monatelang warten, bis sie einen Kontrollserver kontaktieren.

Oder Apps werden mit unterschiedlichem Code angereichert, wo die Schadroutine erst in Kombination mit einer gegengleich infizierten App komplett wird. Jede Anwendung für sich würde bei den Kontrollen kaum auffallen. Bei ausreichender Verbreitung der Infektionen, wie im vorliegenden Fall, käme auch so eine erkleckliche Zahl an Bothandys zusammen.

Chinas Große Mauer ist leider auch nicht mehr das, was sie einmal war.

(Bild: Jakub Hałun CC-BY-SA 4.0)

Um zu verstehen, warum mehrere professionelle Entwickler ihren iOS-Compiler nicht direkt von Apple, sondern aus einem Pendant zu Google Drive beziehen, sind die lokalen Gegebenheiten zu berücksichtigen. Offizielle Dienste sabotieren regelmäßig verschlüsselte Verbindungen, unterminieren durch Man-in-the-Middle-Attacken und blockieren wichtige Repositorien wie GitHub. Chinesische Entwickler greifen daher öfters auf regional verfügbare Kopien ihrer Arbeitswerkzeuge zurück. (ds)