Gunnar Assmy - Fotolia

XcodeGhost: Wer ist von den mit Malware verseuchten iOS-Apps betroffen?

XcodeGhost attackiert Apples Entwicklungsumgebung Xcode und infiziert die damit kompilierten iOS-Apps mit Malware. Anwender haben dabei keine Chance.

Bisher galt Apples App Store vor allem im Vergleich zu Android-Stores als besonders sichere Download-Plattform, wie Ende vergangener Woche bekannt wurde ist es jetzt aber erstmals gelungen, eine große Anzahl von mit Malware infizierten Apps in den Store einzuschleusen.

Für den Angriff wurde Apples Entwicklungsumgebung Xcode, mit der iOS-Apps entwickelt, kompiliert und anschließend in den Store hochgeladen werden können, offenbar gezielt manipuliert und Entwicklern in China über inoffizielle Download-Kanäle angeboten. Xcode wird zwar von Apple selbst kostenlos zum Download zur Verfügung gestellt, gerade von China aus sind die Download-Server aber offenbar nur schwer erreichbar, weshalb wohl viele Entwickler auf den manipulierten Xcode-Download hereingefallen sind.

Die XcodeGhost getaufte Schadsoftware verhält sich fast vollständig wie das unveränderte Apple-Produkt, schleust aber beim Kompilieren der App Malware in den Programmcode ein, wodurch die eigentlich unbeteiligten Entwickler mit Malware verseuchte Apps in den Store einreichen.

Vor allem China von XcodeGhost betroffen

Anders als Google für den Play Store unterzieht Apple die für den App Stores eingereichten Anwendungen eigentlich recht gründlichen Prüfungen und Malware-Scans, warum Apples Prüfmaßnahmen in diesem Fall nicht angeschlagen haben ist derzeit noch unklar.

Von Apple selbst wurde bislang nur vage der eigentliche Vorfall bestätigt, weitere Angaben zur Anzahl oder Details zu den betroffenen Apps gibt es von offizieller Seite bislang nicht.  Security-Anbieter Palo Alto hat allerdings mittlerweile eine Liste betroffener Apps veröffentlicht, darunter zum Beispiel auch der in China äußerst populäre Chat-Dienst WeChat. Die Berichte zu den mit XcodeGhost kompilierten Anwendungen variieren allerdings enorm, so kommt Palo Alto beispielsweise auf lediglich 39 Anwendungen, der chinesische Sicherheitsanbieter Qihoo360 Technology Co laut Reuters dagegen auf fast 350.

Vor allem hierzulande dürften aber wenige Nutzer direkt betroffen sein, da XcodeGhost gezielt auf den chinesischen Markt gerichtet war und sich die mit Malware verseuchten iOS-Apps dementsprechend fast ausschließlich im chinesischen App Store finden. Kritisch zu hinterfragen ist dabei vor allem, warum auch große und professionelle App-Entwickler in China nicht-offizielle Downloads der Entwickler-Tools nutzen.

XcodeGhost – das kann die Malware

Prinzipiell wäre das Einschleusen jeglicher Malware denkbar, derzeit geht man allerdings vor allem von Phishing-Attacken aus, die durch den Schadcode ausgeführt wurden oder zumindest werden sollten. Einer frühen Analyse von Palo Alto zufolge sammeln die durch XcodeGhost verseuchten Apps lediglich relativ harmlose Informationen zu Geräte- und Netzwerk-Typ, Gerätesprache oder auch UUID (Universally Unique Identifier).

Auf Basis dieser Informationen allerdings, so eine zweite Analyse von Palo Alto, wird erst die eigentliche Malware freigesetzt, die dann zum Beispiel die Zwischenablage mitlesen kann. Wer also einen Passwort-Manager nutzt und die dort gespeicherten Passwörter über die Zwischenablage kopiert, offenbart sie dabei auch den Angreifern.

Ein anderer Angriffsvektor führt über App-Benachrichtigungen, die durch die Malware ausgelöst werden und zum Beispiel eine Bestätigung des iCloud-Passwortes verlangen. Da die Benachrichtigung aus der offiziellen App erfolgt, dürften viele Nutzer keinen Argwohn schöpfen und hier ihre Anmeldedaten eingeben.

Maßnahmen gegen XcodeGhost

Wer vermutet, XcodeGhost-Apps genutzt zu haben, sollte aus diesem Grund die auf dem iPhone oder iPad gespeicherten Passwörter ändern. Erkennen lassen sich mit XcodeGhost erstellte Apps allerdings nicht, da diese ja als offizielle Apps über den regulären Weg in den (chinesischen) App Store gelangt sind.

Da Apple die betroffenen Entwickler mittlerweile informiert hat, sollen derzeit von allen betroffenen Apps bereits aktualisierte Versionen zum Download bereitstehen. XcodeGhost-Apps sollten daher, auch bei einem bloßen Verdacht, sicherheitshalber gelöscht und die aktuelle Version erneut aus dem App Store installiert werden. Laut WeChat-Anbieter Tencent beispielsweise betrifft der Malware-Befall lediglich die alte Version 6.2.5 von WeChat, neuere Versionen sollen dagegen bereits von der Malware bereinigt worden sein.

Offen bleibt die kritische Frage, wie es Angreifern überhaupt gelingen konnte, Schad-Apps am Prüfsystem von Apple vorbei in den Store zu bekommen – und ob dies tatsächlich der erste Vorfall ist, oder ob frühere Angriffe einfach unbemerkt blieben. Damit ist iOS zwar sicherlich noch nicht mit Android zu vergleichen, das durch unzählige inoffizielle App Stores ohne jegliche Kontrollen und durch die eher laxen Kontrollen des offiziellen Play Stores als das am meisten von Malware betroffene Smartphone-Betriebssystem gilt, aber der Ruf des „sauberen“ App Stores ist erst einmal dahin.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close