„Wirelurker“ – Angriff oder Angriffstest?

Über WireLurker wird derzeit viel berichtet. Doch handelt es sich bei der Malware und den von ihr auf Geräten ohne Jailbreak verbreiteten unerwünschten, aber nicht gefährlichen Apps um eine echte Attacke, oder doch eher um einen Test für zukünftige Bedrohungsszenarien? [...]

Zurzeit machen Nachrichten über den Trojaner „WireLurker“ die Runde, der vor allem Apple-Geräte gefährdet. Insbesondere und zu Recht wird dabei betont, dass der Trojaner Geräte auch ohne Jailbreak infizieren kann. Doch das scheint gar nicht das Ziel der Angreifer gewesen zu sein. Ein Risiko mit tatsächlicher Malware gab es nur für Geräte, bei denen ein Jailbreak vorlag. Das wahre Problem mit WireLurker besteht weniger in der Bedrohung selbst als vielmehr in Apples Funktionalität des Unternehmens-Provisioning. Gelingt es Apple nicht, diesen Aspekt des Gerätemanagements abzusichern, entsteht dauerhaft ein hohes Bedrohungspotenzial.

KEINE PANIK!
Um es gleich vorwegzunehmen: WireLurker stellt zurzeit keine aktuelle Bedrohung für Apple-Anwender dar. Denn die bekannten Varianten werden von OS X geblockt und die Befehls- und Kontrollserver sind alle vom Netz genommen worden. Vor allem aber hat Apple das gestohlene Zertifikat, das den Angriff erst ermöglichte, zurückgenommen und damit das wirklich Neue an der Bedrohung, nämlich die Installation von Apps auf Geräten ohne Jailbreak, zunichte gemacht.

Der Angriffsweg von WireLurker verläuft über trojanisierte, also gekaperte Apps, nicht über Sicherheitslücken. Um eine solche App auf Geräten ohne Jailbreak zu installieren, müssen Angreifer und Nutzer das so genannte Unternehmens-Provisioning verwenden, ein Bestandteil des Apple-Managements für mobile Geräte. Es wird normalerweise dazu genutzt, angepasste Apps auf die iOS-Geräte einer Organisation zu installieren.

Bislang liegen meinen Kollegen aus der Bedrohungsforschung allerdings keinerlei Hinweise auf über diesen Weg verbreite Apps vor, die tatsächlich Schadcode enthalten. Es handelt sich bei WireLurker und den auf Geräten ohne Jailbreak verbreiteten unerwünschten, aber nicht gefährlichen Apps also eher um einen Test für zukünftige Bedrohungsszenarien und weniger um eine echte Attacke.

PROBLEM = UNTERNEHMENS-PROVISIONING + MENSCH
Und genau hier liegt das Problem: Sollte es Cyberkriminellen erneut gelingen, legitime Apple-Zertifikate zu stehlen, können sie wieder den Weg über das Unternehmens-Provisioning wählen. Es scheint den Angreifern bei WireLurker also weit mehr darum gegangen zu sein auszutesten, wie man über Apple-Geräte in Unternehmensnetze eindringen kann, als Privatanwender zu attackieren.

Apple sollte deshalb diesen Teil seines Gerätemanagements überarbeiten, um das Bedrohungs- und Angriffsszenario, das WireLurker vor Augen geführt hat, in Zukunft unmöglich zu machen. Dies gilt insbesondere für das Glied in der Angriffskette, an dem der Nutzer beteiligt ist. Denn dieser muss explizit seine Einwilligung zur Installation von Apps geben, die über das Unternehmens-Provisioning bereitgestellt werden. Und es dürfte für den Anwender sehr schwer bis unmöglich sein, zwischen guten und schädlichen Apps zu unterscheiden.

* Udo Schneider ist Pressesprecher beim IT-Sicherheitsanbieter Trend Micro.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*