iPhone: Trojaner-App „Jekyll“ überlistet Apples Sicherheitsmaßnahmen

| 20. August 2013
Quelle: Pixabay / Hans

Quelle: Pixabay / Hans

Auf der aktuellen Usenix-Sicherheits-Konferenz stellten fünf Forscher des Georgia Institute of Technology, Long Lu, Simon Chung, Wenke Lee, Kangjie Lu und Tielei Wang eine Trojaner-App vor, die in Apples AppStore aufgenommen wurde. Diese als News-App getarnte Malware hatte es ohne Beanstandung durch die Sicherheitskontrollen von Apple geschafft.

Software mit absichtlichen Sicherheitslücken

Die Forscher nutzten dabei eine ähnliche Technik wie selbstverändernden Code, um durch die Analyse zu kommen. Die Malware arbeitet augenscheinlich ohne Spionagefunktionen und sonstigen verdächtigen Aktivitäten. Erst durch Daten von Außen, die die Forscher von ihren eigenen Servern aus sendeten, wurden die präparierten Sicherheitslücken in der Jekyll-App ausgenutzt und so die Kontrolle übernommen.

Zwei Stufen zum Schutz

Apples Schutzkonzept besteht aus zwei Schritten. Zum einen muss jede App, die in den Apple iOS AppStore aufgenommen werden soll, mehrere, von Apple nicht öffentlich dokumentierte Tests überstehen. Weiterhin kann auf einem iOS-basierten Gerät nur mit einer digitalen Signatur abgezeichneter Programmcode ausgeführt werden. Dies soll ein Nachladen von Code z.B. aus dem Internet verhindern. Diese Signatur wird von Apple nach den Tests ausgestellt und schließt im Normalfall jede Veränderung des Codes aus.

Return Oriented Programming

Im von Apple digital signierten Code waren bereits winzige Programmstücke enthalten, die einzeln weder eine Gefahr noch einen erkennbaren (Spionage-)Nutzen hatten. Diese sind als kleine Unterprogramme angelegt, die ein paar Befehle ausführen und -scheinbar- zum aufrufenden Programmteil zurückkehren. Durch die Ausnutzung der präparierten Sicherheitslücken jedoch wurde diese Rücksprungadresse jeweils so manipuliert, dass diese Unterprogrammteile tatsächlich hintereinander ausgeführt wurden und so sich zu einer Schadfunktion zusammensetzen ließen. Diese Technik nennen die Forscher „Return Oriented Programming“.

Das Prinzip ähnelt der Vorgehensweise der aktuellen iOS-Jailbreaks, um aus den Vorgaben Apples auszubrechen.

Entwarnung

Der zur Demonstration eingesetzte iOS-Trojaner „Jekyll“  konnte zwar SMS, EMails und Tweets versenden und auf Geräteinformationen sowie die Kamera des Gerätes zugreifen, wurde aber durch die Urheber bereits wieder gesperrt und von Apple aus dem AppStore entfernt – den Forschern ging es um eine Machbarkeitsstudie, nicht um den potenziellen Schaden, den ein solcher Trojaner anrichten könnte.

Stichworte: , , ,

Kategorie: Nachrichten, Sicherheit, Smartphones

pdreuw

Über den Autor ()

Peter Dreuw schreibt gern über technische und naturwissenschaftliche Themen aus dem Tagesgeschehen. Dazu kommt ein großes Interesse an aktuellen Gadgets, vorzugsweise mit einem angebissenen Apfel.

Kommentare sind geschlossen.