WireLurker: Malware schleicht sich vom Mac auf iOS-Geräte
In Software aus einem dubiosen chinesischen App-Laden für OS X ist ein Datenschädling aufgetaucht, der sich per USB-Verbindung auch auf iPhone und Co. übertragen können soll.
Das Sicherheitsunternehmen Palo Alto Networks hat laut eigenen Angaben eine Malware für OS X entdeckt, die unter bestimmten Umständen auch iOS-Geräte befallen kann. Der Schädling namens WireLurker steckt in geklauter Software, die über den chinesischen "Maiyadi App Store" vertrieben wird. Palo Alto Networks will ihn in 467 verschiedenen OS-X-Programmen entdeckt haben, die in den letzten sechs Monaten angeblich über 350.000 Mal heruntergeladen wurden.
Befindet sich WireLurker auf dem Rechner, wartet der Schädling zunächst, bis ein iOS-Gerät per USB an den Mac angeschlossen wird. Dann nutzt er die Open-Source-Bibliothek libimobiledevice, um auf das iOS-Gerät zuzugreifen – und missbraucht damit die Trusted-Pairing-Beziehung zwischen Mac und Mobilgerät, wie der iOS-Sicherheitsexperte Jonathan Zdziarski in seinem Blog berichtet.
(Bild: Apple)
Ausgelesen werden unter anderem Serien- und Telefonnummer, iTunes-Store-Daten und andere Infos, die dann an einen Server im Internet gehen. Anschließend wird versucht, Software auf dem iOS-Gerät zu installieren, die harmlos aussieht, aber von den Malware-Autoren stammt. In großer Gefahr sind hier aber nur Nutzer, deren Gerät über einen Jailbreak verfügt. Läuft hier der AFC2-Service, wird Code geschrieben, der den iOS-Nutzer ausspähen kann. Dabei werden unter anderem Adressbuch, iMessage-Datenbank sowie weitere private Daten entwendet.
Laut Palo Alto Networks fehlt den Hintermännern von WireLurker ein Zertifikat von Apple. Entsprechend lässt sich OS-X-Software mit dem Schädling nur ausführen, wenn man das Starten von unsignierten Apps erlaubt hat, was standardmäßig verboten ist. Ansonsten gilt der Ratschlag, nie Software aus dubiosen Quellen zu öffnen.
Zum genauen Installationsprozess von WireLurker macht Palo Alto Networks keine Angaben; offenbar wird der Schädling beim Ausführen heruntergeladener Apps mitinstalliert. Um zu funktionieren, benötigt die App aber Root-Rechte. Zuletzt hatte es hierzu einen Bericht gegeben, dass OS X bis hoch zu Yosemite einen ungepatchten Fehler enthält, mit dem sich Adminkonten diese sichern können, ohne ein Passwort einzugeben. Ob WireLurker diese – bislang noch nicht offengelegte – Lücke verwendet oder schlicht eine Passwort-Abfrage integriert hat, ist noch unklar.
[Update 06.11.2014 15:50 Uhr] Apple ist bekannt, dass auf chinesische Nutzer abzielende Schad-Software zum Download angeboten wird, erklärte der Konzern gegenüber iMore – die "identifizierten Apps" seien bereits blockiert.
[Update 06.11.14 16:44 Uhr:] WireLurker versucht auch auf Geräten ohne Jailbreak, eigene Apps zu installieren, die den Look harmloser Anwendungen nachahmen und automatisch generiert werden. Dazu wird offenbar ein Enterprise-Zertifikat verwendet. Was die installierten Apps genau tun, ist noch unbekannt.
[Update 06.11.14 17:22 Uhr:] Laut The Verge installiert WireLurker auf Geräten ohne Jailbreak nur eine offenbar harmlose Comic-App "als Beweis, dass der Angriff wirklich funktioniert". Manche Versionen liefern auch ein Spiel aus.
[Update 06.11.14 20:05 Uhr:] Wie die BBC meldet, fragt iOS vor dem Ausführen der durch WireLurker auf Geräten ohne Jailbreak installierten App den Nutzer, ob dieser dies auch wirklich möchte – inklusive der Angabe eines (vermutlich gefälschten) Publishers. Anschließend wird ein Provisioning Profile auf das Gerät gespielt. (bsc)
