Sicherheitsforscher: Piraten-App-Store vorübergehend in Apples App Store
Über mehrere Monate hat eine in Apples offiziellem Software-Laden erhältliche, als Übersetzungs-Tool getarnte iOS-App ihren Nutzern offenbar gecrackte Apps zum Download angeboten.
(Bild: Screenshot: Palo Alto Networks)
- Leo Becker
Eine iOS-App, die selbst modifizierte Apps zum Download anbietet, hat es zwischenzeitlich in Apples streng reglementierten App Store geschafft, wie das Sicherheitsunternehmen Palo Alto Networks berichtet. Die App mit dem Namen "Happy Daily English" habe sich als Übersetzungs-Tool ausgegeben und entsprechende Funktionen angeboten, wenn man die Software außerhalb von China öffnet.
Für Nutzer auf dem chinesischen Festland hat das Programm allerdings als Dritt-App-Store gedient, über den gecrackte iOS-Apps zum Download angeboten wurden, wie die Sicherheitsforscher ausführen.
Man habe bislang zwar keine konkreten Schad-Routinen in der Software identifizieren können, doch weise die "ZergHelper" getaufte App mehrere Sicherheitsprobleme auf, erklärt Palo Alto Networks: Die App biete modifizierte iOS-Apps zum Download an, sie erkundige sich nach der Apple ID des Nutzers und sie sei in der Lage, ihren Code dynamisch zu aktualisieren.
Zertifikate ermöglichen Installation von Dritt-Apps
Um die von ZergHelper angebotenen Apps installieren zu können, hat das Programm unter anderem auf von Apple ausgegebene Enterprise-Zertifikate gesetzt, die eine Installation von Dritt-Apps auf unmodifizierten iOS-Geräten ermöglichen. Die App habe sich aber auch als die Desktop-Version von iTunes ausgegeben und auf diese Weise mit Apples Servern Kontakt aufgenommen, um “Authentifizierungsdaten” zu einer angegebenen Apple ID abzufragen.
Reverse-Engineering von Xcode-Funktion
ZergHelper nutzt offenbar auch eine neue Möglichkeit, die Apple der Entwicklungsumgebung Xcode inzwischen einräumt: Mit einer Apple ID kann jeder Nutzer sich Zertifikate zum Ausführen von Apps auf iPhone, iPad und Apple Watch erstellen. Mit dieser Methode sei es der Software möglich gewesen, ein Zertifikat zu beziehen und die App für das Gerät des Nutzers zu signieren. "Irgendjemand" habe es wohl geschafft, Apples Xcode-Technik durch Reverse-Engineering zu analysieren und damit Apples Zertifikat-Server zu täuschen, erklärt die Sicherheitsfirma.
Apple hat ZergHelper am 30. Oktober in den App Store gelassen, möglicherweise sahen die außerhalb von China sitzenden App-Store-Prüfer nur die in der App-Beschreibung aufgeführten Übersetzungsfunktionen, spekuliert Palo Alto Networks. Erst nach einem Hinweis an Apple hat der iPhone-Hersteller die App schließlich Ende vergangener Woche entfernt. (lbe)
