22. Februar 2016 pi/Rudolf Felser

„ZergHelper“ umgeht Codeüberprüfung des Apple App Store

Palo Alto Networks hat eine App entdeckt, welche die Codeüberprüfung von iOS umgeht. zwar geht von der App keine direkte Gefahr aus, dennoch besteht ein Sicherheitsrisiko. [...]

Der offizielle iOS App Store von Apple ist bekannt für seine strenge Codeüberprüfung jeder App, die von Entwicklern eingereicht wird. Diese restriktive Politik ist einer der wichtigsten Mechanismen im iOS-Sicherheitssystem, um die Privatsphäre und Sicherheit von iOS-Benutzern zu gewährleisten. Dennoch entdeckte Unit 42, das Forschungszentrum von Palo Alto Networks, nun laut einem Blog-Beitrag eine App, die neue Wege nutzte, um Apples Code-Review erfolgreich zu umgehen.

Die App ist ein komplexer, voll funktionsfähiger Drittanbieter-App-Store-Client für iOS-Nutzer in der Volksrepublik China. Die Originalbezeichnung der App, übersetzt ins Englische, lautet „Happy Daily English“. Unit 42 hat zudem von Unternehmen signierte Versionen dieser Anwendung an anderer Stelle in freier Wildbahn entdeckt. Obwohl keine schädlichen Funktionen in dieser App identifiziert wurden, hat Palo Alto Networks die App als Riskware eingestuft und ZergHelper getauft.

Durch ZergHelper gehen verschiedene Sicherheitsrisiken für iOS-Nutzer hervor, unter anderem:

  • Die Riskware bietet die Installation von modifizierten Versionen von iOS-Apps an, deren Sicherheit nicht gewährleistet ist.
  • Sie verletzt Unternehmenszertifikate und persönliche Zertifikate, um Anwendungen anzumelden und zu teilen, die nicht überprüften Code enthalten können, oder um private APIs zu missbrauchen.
  • Sie fordert Benutzer zur Eingabe einer Apple-ID auf und teilt auch einige Apple-IDs. ZergHelper nutzt die IDs, um sich an einem Apple-Server anzumelden und Operationen im Hintergrund auszuführen.
  • Der Autor versucht, seine Fähigkeiten über dynamische Aktualisierung seines Codes zu erweitern, um so weitere iOS-Sicherheitseinschränkungen zu umgehen.
  • Die Riskware verwendet einige neue Techniken, die sensibel und riskant sind. Diese Techniken könnten von anderer Malware verwendet werden, um das iOS-Ökosystem anzugreifen.

ZergHelper weist unterschiedliche Verhaltensweisen für Benutzer von unterschiedlichen Standorten auf. Für Nutzer außerhalb Chinas soll der Eindruck einer App zum Englischlernen erweckt werden. Wird auf die App von China aus zugegriffen, erscheinen die realen Funktionen. ZergHelpers Hauptfunktionalität scheint die Bereitstellung eines App Store zu sein, der Raubkopien und geknackte iOS-Apps und -Spiele anbietet. Die App wurde von einer Firma in China entwickelt, die ihr Hauptprodukt „XY Helper“ nennt. ZergHelper ist die „nicht-jailbroken“ und „offizielle“ App-Store-Version dieses Produkts.

Zusätzlich zum Missbrauch von Unternehmenszertifikaten, verwendet diese Riskware einige neuartige Ansätze, um Apps auf nicht-jailbroken-Geräten zu installieren. Sie hat eine kleine Version von Apples iTunes-Client für Windows neu implementiert, für den Login und den Erwerb und Download von Apps. Ebenfalls implementiert sind einige Funktionen von Apples Xcode IDE, um automatisch kostenfreie persönliche Entwicklungszertifikate zu generieren und Apps in iOS-Geräten anzumelden. Dies bedeutet, dass der Angreifer Apples proprietäre Protokolle analysiert hat und das neue Entwicklerprogramm missbraucht, das Apple vor acht Monaten eingeführt hatte. ZergHelper teilt auch einige gültige Apple-IDs mit den Nutzern, so dass sie nicht ihre eigenen IDs verwenden müssen.

Der ZergHelper Code ist komplex und es ist laut Palo Alto Networks noch unklar, ob die Riskware Kontoinformationen stehlen würde und an den Server zurücksenden würde. Die App sendet einige Geräteinformationen automatisch an einen Server, für statistische Tracking-Zwecke. ZergHelper kann aus der Ferne aktualisiert werden, ohne eine weitere Überprüfung durch Apple. Unit 42 hat auch über 50 ZergHelper-Apps identifiziert, die von Unternehmenszertifikaten signiert sind. Diese Anwendungen wurden von den Autoren in verschiedenen Kanälen verbreitet.

iOS-Nutzer, die „Happy Daily English“ aus dem App Store installiert haben oder „XY Helper“ auf ihren Geräten vorfinden, rät Unit 42, es zu deinstallieren. Unit 42 schlägt außerdem vor, die Profile in iOS-Geräten zu überprüfen (unter Einstellungen > Allgemein > Profile & Gerätemanagement). Wenn dort irgendein Profil von „xyzs.com“ erscheint, sollte dieses sofort gelöscht werden.

Apple hat die verdächtige App mittlerweile aus dem App Store entfernt, nachdem Palo Alto Networks am 19. Februar das Unternehmen auf die riskante App hingewiesen hat. (pi/rnf)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*