So lax prüfte Apple Apps, bevor sie in den App Store gelangen

Forscher konnten eine Malware-App in Apples Appstore platzieren.
Bild: teltarif.de Forschern ist es gelungen, in Apples App Store eine App zu platzieren, die Schad­code auf einem iPhone aus­führen kann. Das be­richtet das Magazin MIT Technology Review [Link entfernt] . Die App, die den Namen Jekyll trug und deren Praxis­einsatz im März 2013 statt­fand, bediente sich eines Tricks, um Apples Prüfer aus­zu­tricksen: Der Schad­code wurde erst dynamisch erstellt, so dass das Ergebnis der Prüfung zunächst positiv ausfiel.

Der Trick: Schadcode wurde nachgeladen

Die App wurde von den Forschern so konzipiert, dass sie den Schadcode erst später stückchenweise nachlädt. Dabei können ganz unterschiedliche Instruktionen an die App geschickt werden. Die einzelnen Puzzlestücke setzt die vorbereitete App erst nachträglich zu einem Ganzen zusammen. Der Vorteil für die Angreifer: Erst jetzt ist das Potenzial der App einzuschätzen. Der Nachteil für die Prüfer: Erst jetzt zeigt sich, dass die App nicht ganz so harmlos ist, wie sie zunächst scheint.

Forscher konnten eine Malware-App in Apples Appstore platzieren.
Bild: teltarif.de Jekyll war nur wenige Minuten im App Store erhältlich, danach zogen die Forscher die Schad­software selbst wieder zurück, um andere Nutzer nicht zu gefährden. Auf ihren eigenen iPhones installierten sie aber die App und ließen sich selbst angreifen. Die Mög­lich­keiten der App sollen enorm gewesen sein: So soll Jekyll unbe­merkt Tweets im Namen des Users absenden und Fotos auf­nehmen können. Sogar andere Apps sollen vor der Schad­soft­ware nicht sicher gewesen sein. Den Forschern sei es auch gelungen, die Mobil-Ausgabe des Safari-Browsers auf Webseiten zu lenken, die weitere Malware enthält.

App analysiert Prüfmechanismus Apples

In der App waren einige Mechanismen integriert, mit denen die Forscher auch den Prüfprozess selbst beobachten konnten. Dabei zeigte sich, dass Apple eine App für wenige Sekunden ausführt, bevor sie zugelassen wird. Das reichte jedoch nicht, um Jekyll auf die Schliche zu kommen: Während dieser Zeit waren die schädlichen Bestandteile noch gar nicht erkennbar.

Laut Technology Review habe ein Apple-Sprecher zu dem Bericht keinen Kommentar abgeben wollen. Das Magazin zitiert ihn aber mit den Worten, Apple habe den Prüfprozess umgestellt. Die Forscher fassen ihre Ergebnisse als Warnung auf: "Apples Prüfprozess analysiert eine App statisch, was nicht ausreicht, denn mit dieser Methode kann dynamisch generierter Code nicht erkannt werden." Zwar gibt es keine Aussage dazu, ob Jekyll auch heute noch funktionieren würde - zu vermuten bleibt aber, dass ein solcher Ansatz auch künftig die Sicherheitsmaßnahmen der App-Store-Betreiber austricksen kann. Bereits letztes Jahr gelang es Sicher­heits­experten, mit einem ähnlichen Trick Googles Prüfmechanismus auszuhebeln.