So lax prüfte Apple Apps, bevor sie in den App Store gelangen
Forscher konnten eine Malware-App in Apples Appstore platzieren.
Bild: teltarif.de
Forschern ist es gelungen, in Apples App Store eine App zu platzieren, die Schadcode auf einem iPhone ausführen kann. Das berichtet das Magazin MIT Technology Review
[Link entfernt]
. Die App, die den Namen Jekyll trug und deren Praxiseinsatz im März 2013 stattfand, bediente sich eines Tricks, um Apples Prüfer auszutricksen: Der Schadcode wurde erst dynamisch erstellt, so dass das Ergebnis der Prüfung zunächst positiv ausfiel.
Der Trick: Schadcode wurde nachgeladen
Die App wurde von den Forschern so konzipiert, dass sie den Schadcode erst später stückchenweise nachlädt. Dabei können ganz unterschiedliche Instruktionen an die App geschickt werden. Die einzelnen Puzzlestücke setzt die vorbereitete App erst nachträglich zu einem Ganzen zusammen. Der Vorteil für die Angreifer: Erst jetzt ist das Potenzial der App einzuschätzen. Der Nachteil für die Prüfer: Erst jetzt zeigt sich, dass die App nicht ganz so harmlos ist, wie sie zunächst scheint.
Forscher konnten eine Malware-App in Apples Appstore platzieren.
Bild: teltarif.de
Jekyll war nur wenige Minuten im App Store erhältlich, danach zogen die Forscher die Schadsoftware selbst wieder zurück, um andere Nutzer nicht zu gefährden. Auf ihren eigenen iPhones installierten sie aber die App und ließen sich selbst angreifen. Die Möglichkeiten der App sollen enorm gewesen sein: So soll Jekyll unbemerkt Tweets im Namen des Users absenden und Fotos aufnehmen können. Sogar andere Apps sollen vor der Schadsoftware nicht sicher gewesen sein. Den Forschern sei es auch gelungen, die Mobil-Ausgabe des Safari-Browsers auf Webseiten zu lenken, die weitere Malware enthält.
App analysiert Prüfmechanismus Apples
In der App waren einige Mechanismen integriert, mit denen die Forscher auch den Prüfprozess selbst beobachten konnten. Dabei zeigte sich, dass Apple eine App für wenige Sekunden ausführt, bevor sie zugelassen wird. Das reichte jedoch nicht, um Jekyll auf die Schliche zu kommen: Während dieser Zeit waren die schädlichen Bestandteile noch gar nicht erkennbar.
Laut Technology Review habe ein Apple-Sprecher zu dem Bericht keinen Kommentar abgeben wollen. Das Magazin zitiert ihn aber mit den Worten, Apple habe den Prüfprozess umgestellt. Die Forscher fassen ihre Ergebnisse als Warnung auf: "Apples Prüfprozess analysiert eine App statisch, was nicht ausreicht, denn mit dieser Methode kann dynamisch generierter Code nicht erkannt werden." Zwar gibt es keine Aussage dazu, ob Jekyll auch heute noch funktionieren würde - zu vermuten bleibt aber, dass ein solcher Ansatz auch künftig die Sicherheitsmaßnahmen der App-Store-Betreiber austricksen kann. Bereits letztes Jahr gelang es Sicherheitsexperten, mit einem ähnlichen Trick Googles Prüfmechanismus auszuhebeln.