„ZergHelper“ umgeht Codeüberprüfung des Apple App Store

Palo Alto Networks hat eine App entdeckt, welche die Codeüberprüfung von iOS umgeht. zwar geht von der App keine direkte Gefahr aus, dennoch besteht ein Sicherheitsrisiko. [...]

Für Nutzer außerhalb Chinas sieht die App harmlos aus. (c) Screenshot Palo Alto Networks
Für Nutzer außerhalb Chinas sieht die App harmlos aus.

Der offizielle iOS App Store von Apple ist bekannt für seine strenge Codeüberprüfung jeder App, die von Entwicklern eingereicht wird. Diese restriktive Politik ist einer der wichtigsten Mechanismen im iOS-Sicherheitssystem, um die Privatsphäre und Sicherheit von iOS-Benutzern zu gewährleisten. Dennoch entdeckte Unit 42, das Forschungszentrum von Palo Alto Networks, nun http://researchcenter.paloaltonetworks.com/2016/02/pirated-ios-app-stores-client-successfully-evaded-apple-ios-code-review/ - external-link>laut einem Blog-Beitrag eine App, die neue Wege nutzte, um Apples Code-Review erfolgreich zu umgehen.

Die App ist ein komplexer, voll funktionsfähiger Drittanbieter-App-Store-Client für iOS-Nutzer in der Volksrepublik China. Die Originalbezeichnung der App, übersetzt ins Englische, lautet „Happy Daily English“. Unit 42 hat zudem von Unternehmen signierte Versionen dieser Anwendung an anderer Stelle in freier Wildbahn entdeckt. Obwohl keine schädlichen Funktionen in dieser App identifiziert wurden, hat Palo Alto Networks die App als Riskware eingestuft und ZergHelper getauft.

Durch ZergHelper gehen verschiedene Sicherheitsrisiken für iOS-Nutzer hervor, unter anderem:

  • Die Riskware bietet die Installation von modifizierten Versionen von iOS-Apps an, deren Sicherheit nicht gewährleistet ist.
  • Sie verletzt Unternehmenszertifikate und persönliche Zertifikate, um Anwendungen anzumelden und zu teilen, die nicht überprüften Code enthalten können, oder um private APIs zu missbrauchen.
  • Sie fordert Benutzer zur Eingabe einer Apple-ID auf und teilt auch einige Apple-IDs. ZergHelper nutzt die IDs, um sich an einem Apple-Server anzumelden und Operationen im Hintergrund auszuführen.
  • Der Autor versucht, seine Fähigkeiten über dynamische Aktualisierung seines Codes zu erweitern, um so weitere iOS-Sicherheitseinschränkungen zu umgehen.
  • Die Riskware verwendet einige neue Techniken, die sensibel und riskant sind. Diese Techniken könnten von anderer Malware verwendet werden, um das iOS-Ökosystem anzugreifen.

ZergHelper weist unterschiedliche Verhaltensweisen für Benutzer von unterschiedlichen Standorten auf. Für Nutzer außerhalb Chinas soll der Eindruck einer App zum Englischlernen erweckt werden. Wird auf die App von China aus zugegriffen, erscheinen die realen Funktionen. ZergHelpers Hauptfunktionalität scheint die Bereitstellung eines App Store zu sein, der Raubkopien und geknackte iOS-Apps und -Spiele anbietet. Die App wurde von einer Firma in China entwickelt, die ihr Hauptprodukt „XY Helper“ nennt. ZergHelper ist die „nicht-jailbroken“ und „offizielle“ App-Store-Version dieses Produkts.

Zusätzlich zum Missbrauch von Unternehmenszertifikaten, verwendet diese Riskware einige neuartige Ansätze, um Apps auf nicht-jailbroken-Geräten zu installieren. Sie hat eine kleine Version von Apples iTunes-Client für Windows neu implementiert, für den Login und den Erwerb und Download von Apps. Ebenfalls implementiert sind einige Funktionen von Apples Xcode IDE, um automatisch kostenfreie persönliche Entwicklungszertifikate zu generieren und Apps in iOS-Geräten anzumelden. Dies bedeutet, dass der Angreifer Apples proprietäre Protokolle analysiert hat und das neue Entwicklerprogramm missbraucht, das Apple vor acht Monaten eingeführt hatte. ZergHelper teilt auch einige gültige Apple-IDs mit den Nutzern, so dass sie nicht ihre eigenen IDs verwenden müssen.

Der ZergHelper Code ist komplex und es ist laut Palo Alto Networks noch unklar, ob die Riskware Kontoinformationen stehlen würde und an den Server zurücksenden würde. Die App sendet einige Geräteinformationen automatisch an einen Server, für statistische Tracking-Zwecke. ZergHelper kann aus der Ferne aktualisiert werden, ohne eine weitere Überprüfung durch Apple. Unit 42 hat auch über 50 ZergHelper-Apps identifiziert, die von Unternehmenszertifikaten signiert sind. Diese Anwendungen wurden von den Autoren in verschiedenen Kanälen verbreitet.

iOS-Nutzer, die „Happy Daily English“ aus dem App Store installiert haben oder „XY Helper“ auf ihren Geräten vorfinden, rät Unit 42, es zu deinstallieren. Unit 42 schlägt außerdem vor, die Profile in iOS-Geräten zu überprüfen (unter Einstellungen > Allgemein > Profile & Gerätemanagement). Wenn dort irgendein Profil von „xyzs.com“ erscheint, sollte dieses sofort gelöscht werden.

Apple hat die verdächtige App mittlerweile aus dem App Store entfernt, nachdem Palo Alto Networks am 19. Februar das Unternehmen auf die riskante App hingewiesen hat. (pi/rnf)

Twitter: choose like or share
LinkedIn: choose like or share
Google+ choose like or share
https://computerwelt.at/news/zerghelper-umgeht-codeuberprufung-des-apple-app-store/
RSS
Email
SOCIALICON
Werbung

Mehr Artikel

Die Sicherheits-Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. (c) philipimage - Fotolia
Knowhow

Durchgängige Sicherheitskultur muss Top-Management einschließen

Mitarbeiter stellen eine potenzielle Schwachstelle für die IT-Sicherheit dar. Eine sicherheitsorientierte Unternehmenskultur soll die Antwort darauf sein, vielfach bleibt sie aber auf halbem Weg stehen. Wie der Aufbau einer solchen Kultur gelingen kann, erläutert NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .