AceDeciever
Erster iOS-Trojaner in freier Wildbahn entdeckt
Update 17:34 Uhr
: Inzwischen haben die Forscher einen offiziellen Blog-Eintrag zum Schädling veröffentlicht und erklären die Hintergründe detailliert.
Original-Artikel
Die Sicherheits-Forscher des Palo Alto Networks haben den ersten iOS-Trojaner entdeckt, der sich ohne Enterprise-Zertifikat selbst installiert und nicht auf einen Jailbreak angewiesen ist, um betroffene Geräte zu übernehmen.
Bilder: Shutterstock
Die Security-Experten, die ihren Online-Fund „AceDeciever“ getauft haben, sprechen von einer komplett neuen Familie von iOS-Malware, die bislang eher auf Android-Geräten anzutreffen war. Im Gegensatz zu früherer Schadsoftware, die regelmäßig auf Apples Enterprise-Zertifikate und die Unwissenheit betroffener Anwender setzte, soll sich der „AceDeceiver“ ganz ohne zusätzliche Abfrage installieren können.
Bislang konnten die IT-Spezialisten drei verschiedene iOS-Anwendungen aus der AceDeceiver-Familie ausmachen, die zwischen Juli 2015 und Februar 2016 in Apples offiziellen App Store hochgeladen worden – alle drei Applikationen gaben sich dabei als Wallpaper-Apps aus.
Die Sicherheits-Forscher erklären:
Die von AceDeceiver genutzte Technik wird als „FairPlay Man-In-The-Middle“ (MITM) bezeichnet und wird bereits seit 2013 verwendet, um Piraterie-iOS-Apps zu verbreiten. [..] Diese Apps haben Apples Code-Review mindestens sieben Mal erfolgreich umgangen mittels eines Verfahrens ähnlich dem von ZergHelper, bei dem das Verhalten der App je nach physischer geografischer Region, in der sie ausgeführt wird, angepasst wird. In diesem Fall zeigt AceDeceiver nur schädliches Verhalten, wenn sich der Benutzer in China befindet, aber dies wäre für die Angreifer jederzeit einfach zu ändern.
Nach Angaben der Forscher sind die gesichteten Apps als ernste Bedrohung für Apple-Nutzer weltweit einzustufen. Palo Alto Networks empfiehlt Unternehmen zu überprüfen, ob verwaltete Apple-Geräte über Anwendungen verfügen, die sich über eine der drei folgenden Kennungen identifizieren: com.aisi.aisiring, com.aswallpaper.mito und com.i4.picture.
iOS-Nutzern wird nahegelegt Cupertinos Zwei-Faktor-Authentifizierung für ihre Apple-IDs zu aktivieren.
pssst, nicht so nah ran, sonst erschrickt er sich noch…
nur gucken!
Laut dem Dokument vo Palo Alto Networks, muss der Kauf mit Windows oder Mac OS X geschehen, die ihrerseits bereits mit so einem Virus/Trojaner/etc. infiziert sind. Da Käufe in der Regel per iOS-Geräte geschehen, ist die Gefahr nicht so groß.
Dieser Trojaner braucht zudem ein Hilfsprogramm, was derzeitig nur für Windows existiert. So ein ähnliches Programm kann (leider natürlich) auch für Mac OS X entwickelt werden. Aber derzeitig existiert dies noch nicht.
Man könnte das Problem sehr einfach beheben, aber wäre unangenehm, weil dann jeder Kaufzertifikat vom AppStore überprüft werden müsste. Das hieße dann aber, dass man dann keine Apps mehr installieren kann, wenn keine Internetverbindung zum AppStore besteht. Deshalb wird diese mögliche Lösung vermutlich immer vermieden. Deshalb wäre eine angenehme Lösung vermutlich schwierig.
Kleiner Hinweis: Kaufzertifikat kann auch für 0€ sein, dher entsprechend der Seite besser Autorisationszertifikat.
Zu dieser Bemerkung, dass die Apps nicht mehr im AppStore existieren: Man sollte nicht irgendwelche Dinge behaupten, wenn man keine Ahnung hat. Wer auch nur den Anfang von Palo Alto Networks Seite liest, der versteht sofort, dass lediglich ein gültiges Autorisatonszertifikat nötig ist, egal ob die App nicht mehr im AppStore ist. Sie haben das Zertifikat lediglich kopiert, weshalb der AppStore dies nicht mehr ausstellen muss, was noch nachträglich über die entzogene Gültigkeit des Zertifikats entscheiden könnte.
Es fängt an :/
Apple muss seine Software mehr in Augenschein nehmen.
Schade..
Auch Apple ist nicht perfekt. Apple kann nur das fix unterbinden. Iwann wird es aber (wie immer) neue Bedrohungen geben die Sicherheitslücken ausnutzen.
Es setzt ein Jailbreak voraus! Kommt mal klar und macht keine Panik.
Es gab schon mal ein Virus der nur unter Jailbreak funktionierte, war nur nicht dokumentiert montiert von den Antivirusherstellern. Paulo Alto macht zur Zeit einen großartigen Job und die sind mehr oder weniger newcomer
Nein, tut er nicht! Die Apps sind im AppleAppStore und haben es durch die Prüfung geschafft. Somit auch Jailbreakfreie Geräte gefährdet.
Es ist eben KEIN Jailbreak notwendig! Apples Sicherheitskontrollen sind einfach konstant mies. Das wurde schon zigfach dargelegt. Es wird nur nach nackter Haut etc. gesucht. Wirklich tiefgehend inspiziert wird da nix.
Ich glaube du hast den Artikel nicht richtig gelesen oder nicht richtig verstanden.
Dieser Trojaner setzt eben KEINEN Jailbreak voraus.
…die Zielgruppe ist ja die selbe (unbedarfte Nutzer)…wozu benötigt man eine Wallpaper App? Ist ja früher wie unter Windows mit den Bildschirmschoner-Viren
Ist doch schnurz für was man die App braucht, es geht darum , dass eine Schadsoftware einschleusbar ist, ohne Zertifikat oder ähnliches. Gut, dass es eine „nutzlose“ App war, dann ist wenigstens die Verbreitung nicht so groß. Wie wäre es, wenn davon die App der Woche betroffen wäre?
Hmmm ja geil. Da iOS eine große Plattform ist ist das sicher nicht der letzte :/
Interessant wäre: gibt es die Apps noch und welche 3 Apps sind es denn. Zu dem „warum braucht man Wallpaper Apps?“ Als Ansammlung von passenden Hintergründen? Ggf auch Live Photos etc.
Steht in den URLs hätte man aber deutlicher machen können:
aisi – aisiring
aswallpaper – mito und
i4 – picture
Weiß gerade nicht mehr was davon der Appname und was der Entwickler ist.
Und wozu ne Wallpaperapp? Weils ne App dafür gibt! Man kann so vieles auch über Safari lösen, dennoch gibt es auch ne App dafür. Viele Apps sind im Prinzip nur Safari mit nem Link und ohne Bedienelemente.
Das kann gar nicht sein.
Sowas gibt’s nur bei And.roid und Win.dows!
Verleumdung!!!
x 1000 pro Tag. Wo war denn doch gleich diese nette Grafik… ;)
Panikmache!
Gibt es die Apps noch?
Gab es die Apps im deutschen AppStore?
Wie hießen die Apps?
Warum keine konkreten Aussagen?
Nein! Es ist etwas einzigartiges und die Apps MÜSSEN NICHT MEHR IM APPSTORE SEIN.
(Ich hoffe, mein schreien war nicht zu unangenehm.)
Was bringt uns der Name?!
Damit man wieder seinen Trottelfreunden nen netten App-Link schicken kann?!
So wie vor nem Monat als alle wollten das man sein Gerät auf den 1.1.1970 stellt?!
Im Text steht um was für ne Art Apps es sich handelt, lösch einfach diese unseriösen Dinger wenn du nervös wirst…
Liebes ifun Team,
könnt ihr das noch ein bisschen unterfüttern? Welche Apps sind/waren denn betroffen?
Und was hat die 2-Faktor-Authentisierung damit zu tun? Das ist mir als Laie nicht klar.
Die Zwei-Faktor-Authentifizierung soll simple gesagt die Übernahme eines Accounts durch reines erlangen von Benutzername und Passwort verhindert werden.
Dazu wird auf ein anderes Gerät ein zusätzlicher Code generiert oder gesendet, welcher dann zusammen mit dem eigentlichem Benutzername und Passwort eingegeben werden muss.
Das abfangen von Benutzername und Passwort (1. Faktor) nützt damit nichts mehr wenn man nicht auch in Besitz des Gerätes gelangt dass den 2. Faktor empfängt/generiert.
Es war doch nur eine Frage der Zeit bis sich Trojaner und Viren vermehrt auf iOS verbreiten. Solange ein OS nur wenige Nutzer hat ist es uninteressant für Entwickler extra dafür etwas zu schreiben – sobald man größer wird, wird das OS auch interessanter…
OSX und iOS sind das, was Windows in den 90er war. Heute sind es vereinzelte Viren, morgen sind es dann deutlich mehr und Apple muss nochmal ne extra Schippe drauf legen, was die Prüfung der App Store Apps angeht :)
iOS Nutzen also „wenige“ soso. Gönn dir mal ein paar aktuelle Nutzerzahlen. Das wird wohl eher am verschlossenen System liegen.
„ein OS“ nicht „iOS“ ;)
Vielleicht erst mal ne Brille anschaffen ;)
@Mirko: „… Apple muss nochmal ne extra Schippe drauf legen“ – oder vielleicht besser einen Bagger anschaffen?
Hab den Artikel jetzt zweimal gelesen aber immer noch nicht verstanden, wie dieser „Trojaner“ funktionieren soll. Wie installiert er sich „von selbst“, wenn er doch im AppStore angeboten wird/wurde(?) und von dort installiert werden muss?
Und was hat die 2-Faktor-Authentifizierung damit zu tun?
Nicolas, kannst du das ja tote noch etwas unterfüttern?
Danke!
Inzwischen steht der Blog-Eintrag der Forscher zum Thema online. Ich habe den Link oben ergänzt. Hier wird die Funktionsweise im Detail erklärt.
So allein klingt der Artikel wirklich nach Panikmache.
Er wirft Fragen auf wie „in welcher Weise ist der Trojaner tätig?“, „umgeht er das Sandboxing?“ (nur dann halte ich Ihn für effektiv und gefährlich), „Was installiert sich nun von selbst? Zum einen wird dies behauptet, zum anderen muss man doch erst eine App aus dem App-Store downloaden. Läd er sich innerhalb der App selbst nach?“ etc.
Nein, „Panikmache“ ist es nicht. Es ist eine einzigartige Qualität des Trojaners, wovon es relativ schnell schlimmere Varianten geben könnte. Allerdings fehlt der etwas beruhigende Hinweis, dass dafür die Installation über ein Windows oder Mac Hilfsprogramm geschehen müsste, wobei es dieses Hilfsprogramm derzeitig nur für Windows gibt. Nur Leute wie Ben sind davon gefährdet, du unbedingt jailbreaken wollen.
Also doch Panikmache, da der Artikel darauf gar nicht schließen lässt. Dort hört es sich viel mehr danach an, dass sich der Trojaner von selbst installiert. Bumm.
Stichhaltiger Journalismus geht anders.
Versteht mich nicht falsch. ifun.de ist eine der wenigen Quellen, die ich mehrmals täglich besuche um mich zu informieren. Dennoch ist dieser Artikel von bescheidener Qualität.
OMG das ist ja fast clickbait.
Der Trojaner modifiziert einen PC so, dass eine nicht von Apple zugelassene App auf dem iPhone installiert wird. Die App hat aber die gleichen Restriktionen wie JEDE andere App auch und wird in der Sandbox ausgeführt.
Zudem wird iTunes so modifiziert, dass die App Store Anmeldung (User /Pwd) an einen anderen Server weitergeleitet wird.
Sprich: wer direkt über iOS im AppStore lädt ist fein raus. Auch ein iOS Gerät kann ein anderes iOS Gerät nicht infizieren.
Warum nur fast? Für mich ist es das. Da hilft es auch nicht den Artikel per Update zum Blogpost zu verlinken. Genau von diesem Post hat der Schreiber seine Informationen. Nur weil man schnell einen Artikel verfassen wollte wurde eben nicht so genau gelesen und mit Details ergänzt.
Zusammenfassend lautet es:
Chinesische Kunden potenziell betroffen, Apps entfernt, Windows-PC als Zwischenschritt nötig etc. PP
Wenn du genauer lesen könntest, hättest du erkannt, dass das Problem tatsächlich schwerwiegend ist. Diese Apps müssen nicht im AppStore sein, wenn das Autorisationszertifikat kopiert wurde. Das Helferprogramm kann natürlich auch für Macs erstellt werden. Es können schnell schlimme Apps entstehen, die nur ein einziges Mal im AppStore sein mussten. Da viele Versuche geklappt habe, steht derzeitig nichts im Wege, dass in Zukunft schlimmere Apps die Hürde des AppStores bezwingen. => All dies hätte ich nicht schreiben müssen, wenn du den verlinkten Text gelesen und verstanden hast mit Entwicklerkenntnissen.
+1
Da stimme ich diesmal zu
Also ist, wenn ich das richtig verstehe, in diesem Konstrukt Windows das Problem, nicht iOS!?
Gibt es die Apps noch?
Was für einen Schaden haben sie angerichtet bzw. was wurde ausgespäht? Ist die Gefahr nich präsent?
Ist der deutsche App-Store betroffen bzw gewesen?
Und vor allem: welche Wallpaper-Apps sind betroffen?
Die Apps müssen nicht mehr im AppStore sein, wenn sie ein Mal im AppStore waren. Die Gefahr ist weiterhin präsent und eine bisher für viele einzigartige Qualität, wenn man davon absieht, dass bereits ga. 2014 bekannt wurde, dass dies möglich wäre. Jedoch ist die Wahrscheinlichkeit noch nicht hoch, zumal diese Apps derzeitig scheinbar nichts schlimmes tun. Aber die Apps selbst können sich selbst schnell ändern (Steht auf der Seite).
Lese folgende Apps raus:
„爱思助手“ Im HZ und HK App Store
„AS Wallpaper“ im US App Store
„i4picture“ um US und UK App Store
–
Am 24.Februar wurde Apple informiert.
Am 25.Februar wurden die Apps aus dem Store entfernt.
Die Apps müssen nicht mehr in Store sein. Mehr Details in älteren Posts von mir, oder auf Palo Alto Networks Seite, wenn du dich bemühst den englischen Text zu lesen UND Rrichtig(!) zu übersetzen mit korrekter(!) Interpretation.
Komisch das kritische Einträge verschwinden ?! Habe nur mal angemerkt das eure arbeit mal professioneller war! Und schwups nach 10 min ist der Beitrag weg?! Und noch mal … Schade schade
warum ist dieser „Trojaner“ überhaupt ein Thema? wer kauft den über iTunes auf seinen computer programme für sein iOS gerät? hähä? bin ich zu blöd um das problem zu verstehen?
ich klicke auf den app store auf meinem iPhone und installiere mir meine apps, wie kommt dann da bitte diese komische software nur in die nähe meines iPhones wenn sie doch auf meinen pc ist und die zwei keinerlei Verbindung miteinander haben?
Leute wie Ben, die unbedingt ein Jailbreak haben wollen, sind dadurch besonders gefährdet. Aber ich kenne auch nur Leute, die Apps über iOS-Geräte kaufen. Deshalb sehe ich darin auch keine übermäßige Gefahr darin. Aber die Qualität des Trojaners ist einzigartig (unter den „normalen“ Leuten).
Clickbait Artikel, der Trojaner installiert sich eben nicht irgendwie von selbst, sondern nur unter besonderen Umständen von einem verseuchten Windows PC aus.
Inhaltlich finde ich den Artikel wirklich sehr dünn. Folgende naheliegende Fragen werden nicht beantwortet:
Bin ich nur gefährdet, wenn ich eine der drei Apps aus dem App-Store geladen habe, oder kann sich der Schädling auch beim Surfen auf meinem Handy heimlich installieren? Oder vielleicht beim Runterladen einer App über ein offenes WLAN?
Wie heißen die Apps?
Welchen Schaden kann der Trojaner anrichten?
Schützt mich die 2-Faktor-Authentifizierung vor dem Schädling oder nur vor den Auswirkungen?
So dünn ist der Artikel nicht.. und das nur einige apps entdeckt wurden, heisst nicht, dass nicht viel mehr betroffen sein können.
Ahso, es wird nahegelegt Apple’s 2-Wege-Authentifizierung zu nutzen, aber es das bringt viel wenns in diesem Land nicht geht. Zumindest sagt mir mein Gerät das diese nicht für meine Apple-ID verfügbar ist. Was soll das bitte ? Wieso kann nur ein bestimmtes Land so eine, heutzutage schon fast standard, Sicherheitsmethode nutzen, während andere Länder das nicht können ? Toll @ Apple.
Doch, hier geht es. Es war früher eine gewisse Zeit lang noch nicht für DE (und andere Länder) freigeschaltet. Dass es bei dir nicht geht, ist entweder ein Fehler, oder du machst irgendetwas falsch. Frage den Apple Support.
Wieder mal der Mist von Kopierschutz der das Einfallstoor ist.
Hmmm, ohne den Kopierschutz wäre das Loch doch noch größer, bzw. es gäbe ja gar keinen Schutz. Die Alternative wäre ja speziell für ein Gerät signierte Apps und nicht nur darauf basierend, dass der Rechner von dem die App runtergeladen wurde per iTunes autorisiert ist.
Aus Sicherheitsgründen wäre dies ja sogar zu begrüßen, aber würde dann natürlich auch einen device-lock für ein runtergeladenes .IPA bedeuten und damit bei Gerätewechseln oder weiteren Geräten ein jeweiligen redownload aus dem Store (wenn die App überhaupt noch gelistet) erfordern. Von den zu erwartenden „goldener Käfig weiter verschärft“-Diskussionen dann mal abgesehen. Ich gehe aber davon aus, dass Zertifizierung je device und AppleId kommen wird in der Zukunft und die Möglichkeit, Apps per Itunes runterzuladen oder zu installieren wegfallen wird und nur noch ausschliesslich über den Store auf dem Device.
Mich wurmt eher, dass sich malicious apps durch das Review mogeln könne, weil davor ist ja kein User je gefeit. Dann kann man auch gleich ganz auf DRM verzichten und alternative stores / quellen zulassen.
receive
deceive