„ZergHelper“ umgeht Codeüberprüfung des Apple App Store

Palo Alto Networks hat eine App entdeckt, welche die Codeüberprüfung von iOS umgeht. zwar geht von der App keine direkte Gefahr aus, dennoch besteht ein Sicherheitsrisiko. [...]

Für Nutzer außerhalb Chinas sieht die App harmlos aus. (c) Screenshot Palo Alto Networks
Für Nutzer außerhalb Chinas sieht die App harmlos aus.

Der offizielle iOS App Store von Apple ist bekannt für seine strenge Codeüberprüfung jeder App, die von Entwicklern eingereicht wird. Diese restriktive Politik ist einer der wichtigsten Mechanismen im iOS-Sicherheitssystem, um die Privatsphäre und Sicherheit von iOS-Benutzern zu gewährleisten. Dennoch entdeckte Unit 42, das Forschungszentrum von Palo Alto Networks, nunhttp://researchcenter.paloaltonetworks.com/2016/02/pirated-ios-app-stores-client-successfully-evaded-apple-ios-code-review/ - external-link>laut einem Blog-Beitrag eine App, die neue Wege nutzte, um Apples Code-Review erfolgreich zu umgehen.

Die App ist ein komplexer, voll funktionsfähiger Drittanbieter-App-Store-Client für iOS-Nutzer in der Volksrepublik China. Die Originalbezeichnung der App, übersetzt ins Englische, lautet „Happy Daily English“. Unit 42 hat zudem von Unternehmen signierte Versionen dieser Anwendung an anderer Stelle in freier Wildbahn entdeckt. Obwohl keine schädlichen Funktionen in dieser App identifiziert wurden, hat Palo Alto Networks die App als Riskware eingestuft und ZergHelper getauft.

Durch ZergHelper gehen verschiedene Sicherheitsrisiken für iOS-Nutzer hervor, unter anderem:

  • Die Riskware bietet die Installation von modifizierten Versionen von iOS-Apps an, deren Sicherheit nicht gewährleistet ist.
  • Sie verletzt Unternehmenszertifikate und persönliche Zertifikate, um Anwendungen anzumelden und zu teilen, die nicht überprüften Code enthalten können, oder um private APIs zu missbrauchen.
  • Sie fordert Benutzer zur Eingabe einer Apple-ID auf und teilt auch einige Apple-IDs. ZergHelper nutzt die IDs, um sich an einem Apple-Server anzumelden und Operationen im Hintergrund auszuführen.
  • Der Autor versucht, seine Fähigkeiten über dynamische Aktualisierung seines Codes zu erweitern, um so weitere iOS-Sicherheitseinschränkungen zu umgehen.
  • Die Riskware verwendet einige neue Techniken, die sensibel und riskant sind. Diese Techniken könnten von anderer Malware verwendet werden, um das iOS-Ökosystem anzugreifen.

ZergHelper weist unterschiedliche Verhaltensweisen für Benutzer von unterschiedlichen Standorten auf. Für Nutzer außerhalb Chinas soll der Eindruck einer App zum Englischlernen erweckt werden. Wird auf die App von China aus zugegriffen, erscheinen die realen Funktionen. ZergHelpers Hauptfunktionalität scheint die Bereitstellung eines App Store zu sein, der Raubkopien und geknackte iOS-Apps und -Spiele anbietet. Die App wurde von einer Firma in China entwickelt, die ihr Hauptprodukt „XY Helper“ nennt. ZergHelper ist die „nicht-jailbroken“ und „offizielle“ App-Store-Version dieses Produkts.

Zusätzlich zum Missbrauch von Unternehmenszertifikaten, verwendet diese Riskware einige neuartige Ansätze, um Apps auf nicht-jailbroken-Geräten zu installieren. Sie hat eine kleine Version von Apples iTunes-Client für Windows neu implementiert, für den Login und den Erwerb und Download von Apps. Ebenfalls implementiert sind einige Funktionen von Apples Xcode IDE, um automatisch kostenfreie persönliche Entwicklungszertifikate zu generieren und Apps in iOS-Geräten anzumelden. Dies bedeutet, dass der Angreifer Apples proprietäre Protokolle analysiert hat und das neue Entwicklerprogramm missbraucht, das Apple vor acht Monaten eingeführt hatte. ZergHelper teilt auch einige gültige Apple-IDs mit den Nutzern, so dass sie nicht ihre eigenen IDs verwenden müssen.

Der ZergHelper Code ist komplex und es ist laut Palo Alto Networks noch unklar, ob die Riskware Kontoinformationen stehlen würde und an den Server zurücksenden würde. Die App sendet einige Geräteinformationen automatisch an einen Server, für statistische Tracking-Zwecke. ZergHelper kann aus der Ferne aktualisiert werden, ohne eine weitere Überprüfung durch Apple. Unit 42 hat auch über 50 ZergHelper-Apps identifiziert, die von Unternehmenszertifikaten signiert sind. Diese Anwendungen wurden von den Autoren in verschiedenen Kanälen verbreitet.

iOS-Nutzer, die „Happy Daily English“ aus dem App Store installiert haben oder „XY Helper“ auf ihren Geräten vorfinden, rät Unit 42, es zu deinstallieren. Unit 42 schlägt außerdem vor, die Profile in iOS-Geräten zu überprüfen (unter Einstellungen > Allgemein > Profile & Gerätemanagement). Wenn dort irgendein Profil von „xyzs.com“ erscheint, sollte dieses sofort gelöscht werden.

Apple hat die verdächtige App mittlerweile aus dem App Store entfernt, nachdem Palo Alto Networks am 19. Februar das Unternehmen auf die riskante App hingewiesen hat. (pi/rnf)

Werbung


Mehr Artikel

Proofpoint hat den Proofpoint Targeted Attack Protection Index (TAP) vorgestellt. (c) pixabay
News

Proofpoint führt Index zur Bewertung gefährdeter Mitarbeiter durch Cyberangriffe ein

Proofpoint hat den Proofpoint Targeted Attack Protection Index (TAP) vorgestellt mit dem IT-Security-Teams in den Unternehmen die aktuelle Gefährdung einzelner Personen im Unternehmen einschätzen können. Der Hintergrund ist die Strategie der Cyberkriminellen, nicht die technische Infrastruktur direkt anzugreifen, sondern über Mitarbeiter Zugang zu Systemen im Unternehmen zu erlangen. […]

(c) MariaDB
Whitepaper

Open-Source-Datenbanken für Unternehmen: MariaDB vs. Oracle MySQL vs. EnterpriseDB

In diesem Whitepaper vergleichen wir die Datenbanken von MariaDB, Oracle und EnterpriseDB: MariaDB TX, MySQL Enterprise Edition und EnterpriseDB Postgres Platform. Zunächst vergleichen wir di Geschäftsmodelle und Lizenzen und gehen dann genauer auf die folgenden Datenbankfunktionen ein: Notfallwiederherstellung, Hochverfügbarkeit, Sicherheit, Firewall, Leistung und Skalierbarkeit, Entwicklung, Oracle-Kompatibilität […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .