Im App Store von Apple sind mehrere heimlich manipulierte Apps veröffentlicht worden. Das ganze Ausmass ist noch nicht bekannt. Es könnten hunderte Anwendungen betroffen sein, die alle von chinesischen Software-Entwicklern stammen.
Laut Medienberichten ist der Angriff abgeschlossen, der Täter soll gefasst worden sein. Wobei natürlich die manipulierten Apps weiterhin ein Risiko darstellen, weil sie Sicherheitslücken aufweisen.
Der Schweizer IT-Sicherheitsexperte Marc Ruef geht davon aus, «dass nur ein minimaler Bruchteil der europäischen Nutzer betroffen ist». Dazu gleich mehr.
Der Begriff kann auf den ersten Blick verwirrend wirken. Denn es wurde nicht der App Store von Apple gehackt, vielmehr wurde die Xcode-Software gefälscht, mit der die Entwickler ihre Apps erstellen. Die von Apple getroffenen Sicherheitsmassnahmen versagten.
Falsch sind Meldungen, wonach es sich um den ersten erfolgreichen Hackerangriff auf den App Store handelt. Es gelang Sicherheitsexperten schon früher, Apples Zugangskontrollen zu überlisten.
Aus Nutzersicht ist kein (finanzieller) Schaden bekannt.
Apple muss einen beträchtlichen Image-Schaden hinnehmen. Das Unternehmen betont immer wieder öffentlich, dass es auf Datensicherheit und den Schutz der Privatsphäre bedacht sei. Dazu das IT-Portal Heise.de: «Erschreckend ist, mit welch banalen Methoden Millionen Geräte infiziert werden können, und wie lange es dauert, bis Gegenmassnahmen greifen. Der Schaden hätte viel, viel grösser ausfallen können.»
Die manipulierten Apps sollen nach der Installation gewisse Nutzerdaten heimlich an einen Server gesendet haben. Und zwar: Name und Version der App, iOS-Version, eingestellte Sprache und das Land, Identität des Entwicklers, Installationszeit der App, sowie Gerätename und -typ.
Laut der US-Sicherheitsfirma Palo Alto Research könnte die Malware allerdings auch Passwörter ausspionieren (Phishing).
Mit den abgesaugten Daten wurde gemäss bisherigen Erkenntnissen kein Missbrauch betrieben. Der mutmassliche Täter sagt, er habe die Daten vor rund 10 Tagen gelöscht. Ob die Informationen an Dritte weitergegeben wurden, ist nicht bekannt.
Das bekannteste Opfer dürfte WeChat sein, der grösste Instant-Messaging-Dienst der Welt. Wobei eine ältere App-Version infiziert war, die aktuelle Version ist laut dem Unternehmen sicher.
Die Sicherheitsfirma Palo Alto Networks hat eine Liste der infizierten Apps veröffentlicht. Allerdings war die Website am Montagmorgen vorübergehend nicht erreichbar. Zunächst war von mindestens 39 Apps die Rede, dann wurde die Liste immer länger.
Sicherheitsexperte Marc Ruef: «Eine vollständige Liste, welche Apps betroffen sind, gibt es bis dato nicht.»
Das ist nicht klar. Wer keine Apps von chinesischen Entwicklern nutzt, dürfte nicht gefährdet sein.
Den Angriff ermöglicht haben chinesische Software-Entwickler, die Apps im chinesischen App Store veröffentlicht haben. Ob und in welchen anderen Ländern Apps betroffen sind, ist nicht bekannt.
Abwarten. Von den manipulierten Apps scheint keine Gefahr mehr auszugehen.
Apple dürfte demnächst eine detaillierte Stellungnahme veröffentlichen und auch sagen, welche Schritte erforderlich sind.
Sicherheitsexperte Marc Ruef rät zu folgenden (allgemein gültigen) Vorsichtsmassnahmen:
Ein chinesisches Software-Unternehmen soll den Täter identifiziert und die Polizei informiert haben.
Auf dem grössten chinesischen Social Network ging angeblich am Samstag ein Bekennerschreiben ein. Demnach soll sich der mutmassliche Täter für die verursachte Verwirrung entschuldigt haben. Es sei bloss ein Versuch gewesen.
Der Angriff erfolgte über eine manipulierte Version von Apples offizieller App-Entwicklungssoftware Xcode namens «XcodeGhost». Chinesische Entwickler hatten diese modifizierte Version von einer Website heruntergeladen, die nicht von Apple autorisiert war. Wenn sie dann eine App erstellten, schleuste das Programm den Schad-Code in die App ein. Die von Apple getroffenen Sicherheitsmassnahmen griffen offenbar nicht, so dass die manipulierten Apps in den App Store gelangten.
Apple stellt sichere Entwicklungs-Werkzeuge zur Verfügung. Dass chinesische Entwickler die mehrere Gigabyte grosse Software nicht direkt von Apple bezogen haben, hat mit der Great Firewall zu tun, die den internationalen Datenverkehr verlangsamt. Eine lokale chinesische Xcode-Version konnte schneller heruntergeladen werden. Die Entwickler mussten dazu aber auch Warnungen des Computer-Systems ignorieren, wonach es sich um gefährliche Software handeln könnte.
Grundsätzlich wirft der Fall ein schlechtes Licht auf bekannte chinesische Software-Unternehmen wie Tencent, das WeChat entwickelt. Es ist äusserst problematisch, wenn Fachleute auf Software aus unbekannter, respektive nicht offizieller, Quelle vertrauen.
Sicherheitsexperte Marc Ruef: «Angriffe über kompromittierte Compiler sind aus technologischer Sicht sehr spannend und kennt man eigentlich hauptsächlich aus der Linux-Welt. Dass früher oder später jemand dieses Prinzip auf die Apple-Plattform übertragen wird, verwundert nicht. Die hohe Anzahl potentieller Opfer ist immens und dieser Ansatz dementsprechend attraktiv.»
Bislang gibt es nur folgende offizielle Stellungnahme von Apple, in der von Apps die Rede ist, die mit einer gefälschten Software (XCode Ghost) erstellt worden seien: «‹We’ve removed the apps from the App Store that we know have been created with this counterfeit software›, Apple spokeswoman Christine Monaghan said in an email. ‹We are working with the developers to make sure they’re using the proper version of Xcode to rebuild their apps.›» (Quelle: Reuters)
Der Fall zeigt eindrücklich, dass selbst der abgeschirmte App Store von Apple keinen 100-prozentigen Schutz vor Malware und Schnüffel-Programmen bietet.
Zwar werden alle Anwendungen vor der Veröffentlichung überprüft. Doch die Kontrollen haben im konkreten Fall versagt. Apple muss sie zwingend verschärfen. Sonst ist das häufig gehörte Verkaufsargument, dass der eigene App Store sicherer sei als die (Android-)Konkurrenz, keinen Pfifferling mehr wert.
