Jekyll Apps: Forscher überlisten App-Store-Zulassungsprozess
Mit einer erfolgreich im App Store platzierten Malware-App haben Sicherheitsforscher demonstriert, wie sich die App-Store-Zugangskontrolle überlisten lässt. Die eingeschleuste Software konnte unter anderem heimlich die iPhone-Kamera aktivieren.
Anhand einer für kurze Zeit im App Store erhältlichen App haben Sicherheitsforscher gezeigt, wie sich Schad-Software unbemerkt durch Apples Zulassungsprüfung schleusen lässt. Die Wissenschaftler der Georgia Institute of Technology platzierten dafür gezielt Schwachstellen in einer ansonsten unscheinbaren App und versteckten "Code-Gadgets", wie sie in ihrem Paper (PDF) zu sogenannten "Jekyll Apps" darlegen. Die App gelangte angeblich problemlos durch Apples Store-Prüfung und nahm beim ersten Öffnen auf einem iOS-Testgerät Verbindung zu einem Server auf, über den die Forscher die Schwachstellen aus der Ferne ausnutzen und die Code-Gadgets zu Schadroutinen zusammenfügen konnten.
(Bild: Jekyll on iOS )
Die App war dann nach Angabe der Sicherheitsforscher bis hin zu iOS 6 in der Lage, vom Nutzer unbemerkt, Tweets zu Verfassen, die iPhone-Kamera zu aktivieren und Videos aufzuzeichnen, Telefonnummern zu wählen, Bluetooth-Verbindungen zu manipulieren und Geräteinformationen auszulesen – unter iOS 5 war es zusätzlich möglich, SMS-Nachrichten sowie E-Mails zu verschicken und einen Neustart auszulösen. Eine Option sei auch, andere Apps über URL-Schemes zu manipulieren und beispielsweise mit Safari eine bestimmte manipulierte Webseite aufzurufen, die den Browser dann zum Absturz bringt, schreiben die Forscher – theoretisch sei auf diesem Wege auch das Einschleusen von Schadcode möglich, wenn entsprechende Schwachstellen bekannt seien.
Man habe die Methoden und genutzten Schwachpunkte im März 2013 an Apple weitergeleitet, erklären die Wissenschaftler in dem Paper – die App sei unmittelbar nach dem erfolgreichen Testlauf wieder aus dem App Store zurückgezogen worden und war angeblich ausschließlich auf die Testgeräte der Forscher gelangt. Ein Apple-Sprecher betonte gegenüber MIT Technology Review, das Unternehmen habe in Reaktion auf die Schwachpunkte bestimmte Änderungen an iOS vorgenommen – einige der genannten Angriffsroutinen funktionieren unter iOS 7 nicht mehr, sagten die Forscher iMore. Welche spezifischen Gegenmaßnahmen Apple gegen "Jekyll Apps" eingeführt hat, bleibt allerdings unklar. Derartige Malware bereits bei der App-Store-Zulassung aufzuspüren, halten die Forscher für technisch kaum machbar – zudem rechne sich ein aufwändigerer Prüfprozess für Apple wirtschaftlich nicht. (lbe)
