Unbemerkt Phishing-Angriffe durchführen
Masque Attack: Sicherheitslücke ermöglicht unbemerkte Angriffe auf iOS-Geräte
Angreifer können durch Sicherheitslücke Warnhinweise umgehen und URL-Schemen bekannter Apps missbrauchen
FireEye hat im November 2014 die schwerwiegende Sicherheitslücke "Masque Attack" im Betriebssystem iOS entdeckt. Die Sicherheitslücke erlaubte Angreifern, legitime Apps auf iOS-Geräten durch schädliche Anwendungen zu ersetzen. Dazu mussten Nutzer lediglich dazu verleitet werden, manipulierte Links in SMS, E-Mails oder mobilem Internetbrowser zu öffnen. FireEye hat Apple über weitere Sicherheitslücken informiert, bei denen Masque Attacks auf vier verschiedene Arten zum Einsatz kommen. Die Sicherheitslücke "Masque Attack II" wurde nun mit dem jüngsten iOS 8.1.3 Security Content Update von Apple weitgehend geschlossen.
Mit Masque Attack II lassen sich der Warnhinweis "nicht vertrauenswürdiger App-Entwickler” umgehen und falsche IOS-URL-Schemen verwenden Mit dem jüngsten Sicherheitsupdate von Apple konnte das Umgehen des Warnhinweises unterbunden werden. Die Umleitung auf ein falsches iOS-URL-Schema konnte bisher nicht verhindert werden.
Umgehung des Warnhinweises "nicht vertrauenswürdiger App-Entwickler"
Wenn ein iOS-Nutzer eine App mit dem Gerät bisher unbekannter Signatur zum ersten Mal öffnet, wird er per Push-Up-Nachricht gefragt, ob er dem Entwickler "vertraut". Solange der Nutzer nicht bestätigt, wird die App nicht gestartet. Apple riet zum Schutz vor Masque Attacks im November, diese Meldungen mit "nicht vertrauen" zu beantworten. FireEye hat Apple nun darauf hingewiesen, dass diese Maßnahme keinen zuverlässigen Schutz bietet.
Der Warnhinweis kann nach Erkenntnissen von FireEye durch eine Sicherheitslücke umgangen werden. Wenn ein iOS-URL-Schema aufgerufen wird, starten manche dieser Anwendungen, ohne einen entsprechenden Warnhinweis anzuzeigen. Dabei ist es irrelevant, ob die App schon einmal zuvor aufgerufen wurde. Auch, wenn der Nutzer zuvor mit "nicht vertrauen" reagierte, startet iOS Apps mit unbekannter Signatur unmittelbar nach dem Aufrufen eines URL-Schemas. Mit anderen Worten: Wenn der Nutzer auf einen manipulierten Link in einer SMS oder E-Mail klickt, startet die auf dem Gerät installierte App, ohne nach der Freigabe des Nutzers zu Fragen und ignoriert sogar vorheriges Ablehnen durch den Nutzer. Angreifer können diesen Umstand nutzen, um eine manipulierte App per Masque Attack zu starten.
Bei der Programmierung von Malware, die App-URL-Schemen beliebter Apps verwendet, könnte ein Angreifer auch die Nutzeroberfläche so gestalten, dass sie unbemerkt Phishing-Angriffe durchführt. So wäre es dem Angreifer beispielsweise möglich, an wichtige Login-Daten zu gelangen.
Dieser Bug wurde bei den iOS-Versionen 7.1.2, 8.1.1, 8.1.2 und 8.2 Beta festgestellt. Apple hat ihn kürzlich für die aktuelle Version iOS 8.1.3 geschlossen. Laut einer Erhebung des App Stores vom 2. Februar 2015 verwenden 28 Prozent der Geräte ältere iOS-Versionen (iOS 7 oder niedriger), die nach wie vor auf diese Weise angreifbar sind. Auch die 72 Prozent der Geräte, die iOS 8 verwenden, sind gefährdet, wenn sie eine ältere Version als iOS 8.1.3 verwenden. FireEye rät Nutzern älterer iOS-Versionen zu einem baldigen Upgrade.
Missbrauch von URL-Schemen
Auf den ersten Blick erscheint die Verwendung desselben URL-Schemas durch unterschiedliche Apps als absichtliches Feature des iOS App Stores, um Entwicklern das Teilen der URL-Schemen zu ermöglichen. Doch auch namhafte Apps teilen ihr URL-Schema mit anderen, unbekannteren Apps. So hat FireEye insgesamt 28 Apps im App Store entdeckt, die das URL-Schema "fb://" der Facebook-App verwenden. Nur 16 von ihnen wurden von Facebook selbst veröffentlicht. Das URL-Schema "fb118493188254996” wird sogar von mindestens 8.048 Apps verschiedener Entwickler im App Store verwendet.
Angreifer haben dadurch die Möglichkeit, Malware mit dem URL-Schema einer legitimen App im App Store zu platzieren. Einmal auf ein Gerät gelangt, können sie die Nutzeroberfläche einer echten App dazu verwenden, Phishing-Angriffe durchzuführen und dadurch Daten abzufangen.
Fazit
Sowohl App Store als auch die iOS-Plattform erlauben Apps unterschiedlicher Entwickler nach wie vor, dieselben URL-Schemen zu verwenden. Das endgültige Schließen der dadurch entstandenen Sicherheitslücke könnte für Apple mit Schwierigkeiten verbunden sein. Darüber hinaus besteht weiterhin Gefährdung durch zwei weitere Arten der Masque Attacks, an deren Unterbindung Apple derzeit noch arbeitet. (FireEye: ra)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden