Achilles-Ferse in der iOS-Sicherheit Achilles-Ferse in der iOS-Sicherheit - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.08.2014 Jens Stark*

Achilles-Ferse in der iOS-Sicherheit

Forscher haben eine markante Lücke in der Sicherheit von iPhones aufgedeckt. Sie konnten über simple USB-Verbindungen Malware-Apps auf die Smartphones laden.

Forscher laden Malware via USB auf das iPhone.

Forscher laden Malware via USB auf das iPhone.

© Fotolia

Fünf Forscher des Georgia Institute of Technology haben eine Schwachstelle im Sicherheits-Konzept von iOS entdeckt, die eine Achilles-Ferse der iPhone-Security darstellt. Ihnen ist es nämlich gelungen, iPhones Malware-Apps unterzuschieben, und zwar wenn die Smartphones via USB mit einem Computer verbunden werden.

Dabei werden keine Software-Fehler in iOS ausgenutzt. Vielmehr haben die Forscher eine Schwachstelle, respektive einen Work-Around im Design der iOS-Absicherung von Apple entdeckt. "Unserer Meinung nach, hat Apple der USB-Verbindung zu sehr vertraut", folgert Tielei Wang, einer der Autoren der Studie, welche nächste Woche am Usenix Security Symposium in San Diego präsentert werden soll.

Voraussetzung für die Installation ist ein mit Malware verseuchter Mac oder PC. Über diesen ist die von Wang und seinen Kollegen entdeckte Man-in-the-middle-Attacke möglich.

Grundproblem für Hacker von iOS ist, dass Anwender sich mit einer Apple ID angemeldet haben müssen, um Software auf ihren Geräten zu installieren. Die App muss dabei nicht unbedingt aus dem App Store stammen, sie kann auch von außerhalb kommen. Bedingung ist lediglich eine gültige digitale Signatur von Apple. Allerdings ist Apple sehr sorgfältig, wenn es darum geht, Software zuzulassen.

Deshalb haben die Wissenschaftler sich einen anderen Weg ausdenken müssen, um die Sicherheits-Checks von Apple zu umgehen. Neben regulären Zertifikaten, stellt Apple Entwicklern spezielle Developer Certificates aus. Diese erlauben es den Programmierern, für interne Zwecke Apps zu verteilen und diese selbst-signiert zu installieren.

Wangs Team ist es nun gelungen, ein solches Entwickler-File auf ein iOS-Gerät zu schmuggeln, das via USB an einen Computer angeschlossen wird. Dabei sieht das Opfer keine Warnung. Somit lässt sich auch bösartige Software installieren. Und schlimmer: Die Forscher konnten legitime Apps aus dem App Store durch gleich aussehende Malware-Programme ersetzen. "Der ganze Prozess kann ohne das Wissen des Anwenders geschehen", warnt Wang.

Allerdings haben die Forscher Apple bereits vor einiger Zeit über die Problematik informiert, wodurch der iPhone-Hersteller bereits einige Veränderungen vorgenommen habe. Eine dieser Änderungen besteht in einer Warnmeldung, die jedesmal erscheint, wenn ein iOS-Gerät mit einem Computer zum ersten Mal verbunden wird. In dieser wird der Anwender darauf hingewiesen, dass man sein iPhone nur mit einem bekannten und vertrauenswürdigen PC oder Mac verbinden sollte.

Entwarnung will Wang nicht geben. Sein Team hat noch weitere schwache Punkte entdeckt bei der Verbindung von iOS-Geräten via USB. So wird das Gerät nicht nur via iTunes verbunden sondern auch über das Protokoll "Apple File Connection", das etwa für den Transfer von Bild- und Musik-Dateien genutzt wird. Das Protokoll habe laut Paper der Forscher auch Zugang zu sicheren Cookies in diversen Apps. iOS verhindere zwar, dass die Apps einander die Cookies auslesen. Via Desktop-PC gelinge der Ausstausch aber. Der simple Tipp von Wang lautet daher: "Verbinden Sie ihr iPhone einfach nicht mit einem Computer, zumal dann nicht, wenn Sie an dessen Integrität zweifeln."

* Jens Stark ist Redakteur der Schweizer Computerworld.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr

Hosted by:    Security Monitoring by: