Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
App Store Apple

Der mutmassliche Täter ist laut Medienberichten gefasst worden.
Bild: Shutterstock

«Hackerangriff» auf den App Store von Apple: Das musst du wissen

Aus China erreichen uns beunruhigende Nachrichten: Welche iPhone-Apps sind infiziert? Und ist der App Store tatsächlich löchrig wie ein Käse? Sicherheitsexperte Marc Ruef nimmt Stellung.



Was ist passiert?

Im App Store von Apple sind mehrere heimlich manipulierte Apps veröffentlicht worden. Das ganze Ausmass ist noch nicht bekannt. Es könnten hunderte Anwendungen betroffen sein, die alle von chinesischen Software-Entwicklern stammen.

Laut Medienberichten ist der Angriff abgeschlossen, der Täter soll gefasst worden sein. Wobei natürlich die manipulierten Apps weiterhin ein Risiko darstellen, weil sie Sicherheitslücken aufweisen.

Der Schweizer IT-Sicherheitsexperte Marc Ruef geht davon aus, «dass nur ein minimaler Bruchteil der europäischen Nutzer betroffen ist». Dazu gleich mehr.

Warum ist von einem Hackerangriff die Rede?

Der Begriff kann auf den ersten Blick verwirrend wirken. Denn es wurde nicht der App Store von Apple gehackt, vielmehr wurde die Xcode-Software gefälscht, mit der die Entwickler ihre Apps erstellen. Die von Apple getroffenen Sicherheitsmassnahmen versagten.

Falsch sind Meldungen, wonach es sich um den ersten erfolgreichen Hackerangriff auf den App Store handelt. Es gelang Sicherheitsexperten schon früher, Apples Zugangskontrollen zu überlisten.

Wie schlimm ist es?

Aus Nutzersicht ist kein (finanzieller) Schaden bekannt.

Apple muss einen beträchtlichen Image-Schaden hinnehmen. Das Unternehmen betont immer wieder öffentlich, dass es auf Datensicherheit und den Schutz der Privatsphäre bedacht sei. Dazu das IT-Portal Heise.de: «Erschreckend ist, mit welch banalen Methoden Millionen Geräte infiziert werden können, und wie lange es dauert, bis Gegenmassnahmen greifen. Der Schaden hätte viel, viel grösser ausfallen können.»

Welchen konkreten Schaden haben die manipulierten Apps angerichtet?

Die manipulierten Apps sollen nach der Installation gewisse Nutzerdaten heimlich an einen Server gesendet haben. Und zwar: Name und Version der App, iOS-Version, eingestellte Sprache und das Land, Identität des Entwicklers, Installationszeit der App, sowie Gerätename und -typ.

Laut der US-Sicherheitsfirma Palo Alto Research könnte die Malware allerdings auch Passwörter ausspionieren (Phishing). 

Mit den abgesaugten Daten wurde gemäss bisherigen Erkenntnissen kein Missbrauch betrieben. Der mutmassliche Täter sagt, er habe die Daten vor rund 10 Tagen gelöscht. Ob die Informationen an Dritte weitergegeben wurden, ist nicht bekannt.

Welche Apps sind betroffen?

Das bekannteste Opfer dürfte WeChat sein, der grösste Instant-Messaging-Dienst der Welt. Wobei eine ältere App-Version infiziert war, die aktuelle Version ist laut dem Unternehmen sicher.

Die Sicherheitsfirma Palo Alto Networks hat eine Liste der infizierten Apps veröffentlicht. Allerdings war die Website am Montagmorgen vorübergehend nicht erreichbar. Zunächst war von mindestens 39 Apps die Rede, dann wurde die Liste immer länger. 

Sicherheitsexperte Marc Ruef: «Eine vollständige Liste, welche Apps betroffen sind, gibt es bis dato nicht.»

Wie stark sind europäische Apple-Kunden betroffen?

Das ist nicht klar. Wer keine Apps von chinesischen Entwicklern nutzt, dürfte nicht gefährdet sein.

Den Angriff ermöglicht haben chinesische Software-Entwickler, die Apps im chinesischen App Store veröffentlicht haben. Ob und in welchen anderen Ländern Apps betroffen sind, ist nicht bekannt.

Was soll ich nun tun?

Abwarten. Von den manipulierten Apps scheint keine Gefahr mehr auszugehen.

Apple dürfte demnächst eine detaillierte Stellungnahme veröffentlichen und auch sagen, welche Schritte erforderlich sind.

Sicherheitsexperte Marc Ruef rät zu folgenden (allgemein gültigen) Vorsichtsmassnahmen:

Wer hat das getan?

Ein chinesisches Software-Unternehmen soll den Täter identifiziert und die Polizei informiert haben. Auf dem grössten chinesischen Social Network ging angeblich am Samstag ein Bekennerschreiben ein. Demnach soll sich der mutmassliche Täter für die verursachte Verwirrung entschuldigt haben. Es sei bloss ein Versuch gewesen.

Wie konnte das passieren?

Der Angriff erfolgte über eine manipulierte Version von Apples offizieller App-Entwicklungssoftware Xcode namens «XcodeGhost». Chinesische Entwickler hatten diese modifizierte Version von einer Website heruntergeladen, die nicht von Apple autorisiert war. Wenn sie dann eine App erstellten, schleuste das Programm den Schad-Code in die App ein. Die von Apple getroffenen Sicherheitsmassnahmen griffen offenbar nicht, so dass die manipulierten Apps in den App Store gelangten.

«Angriffe über kompromittierte Compiler sind aus technologischer Sicht sehr spannend und kennt man eigentlich hauptsächlich aus der Linux-Welt.»

Marc Ruef, IT-Sicherheitsexperte

Apple stellt sichere Entwicklungs-Werkzeuge zur Verfügung. Dass chinesische Entwickler die mehrere Gigabyte grosse Software nicht direkt von Apple bezogen haben, hat mit der Great Firewall zu tun, die den internationalen Datenverkehr verlangsamt. Eine lokale chinesische Xcode-Version konnte schneller heruntergeladen werden. Die Entwickler mussten dazu aber auch Warnungen des Computer-Systems ignorieren, wonach es sich um gefährliche Software handeln könnte.

Grundsätzlich wirft der Fall ein schlechtes Licht auf bekannte chinesische Software-Unternehmen wie Tencent, das WeChat entwickelt. Es ist äusserst problematisch, wenn Fachleute auf Software aus unbekannter, respektive nicht offizieller, Quelle vertrauen.

Sicherheitsexperte Marc Ruef: «Angriffe über kompromittierte Compiler sind aus technologischer Sicht sehr spannend und kennt man eigentlich hauptsächlich aus der Linux-Welt. Dass früher oder später jemand dieses Prinzip auf die Apple-Plattform übertragen wird, verwundert nicht. Die hohe Anzahl potentieller Opfer ist immens und dieser Ansatz dementsprechend attraktiv.»

Wie hat Apple reagiert?

Bislang gibt es nur folgende offizielle Stellungnahme von Apple, in der von Apps die Rede ist, die mit einer gefälschten Software (XCode Ghost) erstellt worden seien: «‹We’ve removed the apps from the App Store that we know have been created with this counterfeit software›, Apple spokeswoman Christine Monaghan said in an email. ‹We are working with the developers to make sure they’re using the proper version of Xcode to rebuild their apps.›» (Quelle: Reuters)

Und was lernen wir daraus?

Der Fall zeigt eindrücklich, dass selbst der abgeschirmte App Store von Apple keinen 100-prozentigen Schutz vor Malware und Schnüffel-Programmen bietet. Zwar werden alle Anwendungen vor der Veröffentlichung überprüft. Doch die Kontrollen haben im konkreten Fall versagt. Apple muss sie zwingend verschärfen. Sonst ist das häufig gehörte Verkaufsargument, dass der eigene App Store sicherer sei als die (Android-)Konkurrenz, keinen Pfifferling mehr wert.

Via heise.de / Recode

Das bietet iOS 9 fürs iPhone und iPad

Kennst du schon die watson-App?

Über 150'000 Menschen nutzen bereits watson für die Hosentasche. Unsere App hat den «Best of Swiss Apps»-Award gewonnen und wurde unter «Beste Apps 2014» gelistet. Willst auch du mit watson auf frische Weise informiert sein? Hol dir jetzt die kostenlose App für iPhone/iPad und Android.

Das könnte dich auch interessieren:

Die Bolton-Bombe ist explodiert – und zwar ins Gesicht von Donald Trump

Link zum Artikel

Vergiss die Dolly-Parton-Challenge – viel interessanter ist die Koala-Herausforderung

Link zum Artikel

Eiskalte Dusche für Salvini – was die Wahlniederlage für die Lega bedeutet

Link zum Artikel

Was Frauen über Geld wissen sollten und warum Investieren wichtig ist

Link zum Artikel

George Soros teilt in Davos aus: «Die Welt wäre ohne Xi und Trump ein besserer Ort»

Link zum Artikel

Du willst Wein kaufen, hast aber null Ahnung? So schnappst du dir eine gute Flasche

Link zum Artikel

Ohne diese Plakette dürfen Genfer ab sofort nicht mehr in die Innenstadt fahren

Link zum Artikel

Warum Haaland ein «richtiger Stürmer» ist und welches BVB-Ritual ihn bald erwartet

Link zum Artikel

Andere Länder, andere Sitten und sehr gute Ti-, äh, Brüste

Link zum Artikel

50 Tonnen Gras pro Jahr – so viel Cannabis konsumiert die Schweiz

Link zum Artikel

Der Bundesrat trifft von der Leyen und Trump und steht mit leeren Händen da

Link zum Artikel

Spass beiseite, der PICDUMP ist da!

Link zum Artikel

Mario Basler, das Enfant Terrible der 90er, verrät uns, was ihn am modernen Fussball nervt

Link zum Artikel

«Ich musste immer noch heftiger, noch brutaler, gröber, wüster sein, als es meine Art ist»

Link zum Artikel

Das Reality-Experiment «The Circle» auf Netflix ist DIE Droge

Link zum Artikel

«Wir wollen keine Zensur!» ruft der weisse heterosexuelle Mann

Link zum Artikel

Wenn der Schweizer Einbürgerungstest effizient wäre, würde er SO aussehen

Link zum Artikel

WEF 2020: Trump ist weg ++ Air Force One in Zürich gestartet

Link zum Artikel

Coronavirus: Bereits 56 Todesopfer 

Link zum Artikel

Siehst du öfters diesen Vogel? Das hat einen bestimmten Grund

Link zum Artikel

Teenie-Idol Billie Eilish (18!) macht Bond-Song. And WHY NOT? Könnte geil werden

Link zum Artikel

Weshalb sich Experten nach dem Freispruch der Klimaaktivisten an den Kopf fassen

Link zum Artikel

Der lange Weg des Daniele Sette zu seinen ersten Weltcup-Punkten – mit 27 Jahren

Link zum Artikel

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

Link zum Artikel

5 idiotische Menschentypen, die es im Leben einfacher haben als du

Link zum Artikel

Das Wahljahr hat begonnen und Donald Trump steht ziemlich gut da

Link zum Artikel

«Warum können viele Männer nicht mit einem Korb umgehen?»

Link zum Artikel

Grün wie die Hoffnung – hier kommt das erste Quizz den Huber im 2020!

Link zum Artikel

Déjà-vu für die Queen: Als eine geschiedene Amerikanerin den Briten ihren König stahl

Link zum Artikel

So viele Ordnungsbussen werden in Basel verteilt – und das sind die häufigsten Vergehen

Link zum Artikel

Coronavirus: 2 Verdachtsfälle in Zürich

Link zum Artikel

«Habe versucht, so cool wie möglich zu tun» – die Stimmen zu Rinnes rarem Goalie-Goal

Link zum Artikel

Sie war Junkie, Kult und Bitch – jetzt ist Elizabeth Wurtzel gestorben

Link zum Artikel

Ulrich Tilgner: «Die Amerikaner schiessen im Nahen Osten gerade Eigentor um Eigentor»

Link zum Artikel

Ein Shitstorm entlädt sich über Roger Federer – und Greta Thunberg ist mitschuldig

Link zum Artikel

Besser extra zu spät als nie: PICDUMP!

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Die Bolton-Bombe ist explodiert – und zwar ins Gesicht von Donald Trump

198
Link zum Artikel

Vergiss die Dolly-Parton-Challenge – viel interessanter ist die Koala-Herausforderung

11
Link zum Artikel

Eiskalte Dusche für Salvini – was die Wahlniederlage für die Lega bedeutet

17
Link zum Artikel

Was Frauen über Geld wissen sollten und warum Investieren wichtig ist

33
Link zum Artikel

George Soros teilt in Davos aus: «Die Welt wäre ohne Xi und Trump ein besserer Ort»

124
Link zum Artikel

Du willst Wein kaufen, hast aber null Ahnung? So schnappst du dir eine gute Flasche

95
Link zum Artikel

Ohne diese Plakette dürfen Genfer ab sofort nicht mehr in die Innenstadt fahren

66
Link zum Artikel

Warum Haaland ein «richtiger Stürmer» ist und welches BVB-Ritual ihn bald erwartet

118
Link zum Artikel

Andere Länder, andere Sitten und sehr gute Ti-, äh, Brüste

180
Link zum Artikel

50 Tonnen Gras pro Jahr – so viel Cannabis konsumiert die Schweiz

181
Link zum Artikel

Der Bundesrat trifft von der Leyen und Trump und steht mit leeren Händen da

53
Link zum Artikel

Spass beiseite, der PICDUMP ist da!

171
Link zum Artikel

Mario Basler, das Enfant Terrible der 90er, verrät uns, was ihn am modernen Fussball nervt

26
Link zum Artikel

«Ich musste immer noch heftiger, noch brutaler, gröber, wüster sein, als es meine Art ist»

17
Link zum Artikel

Das Reality-Experiment «The Circle» auf Netflix ist DIE Droge

33
Link zum Artikel

«Wir wollen keine Zensur!» ruft der weisse heterosexuelle Mann

565
Link zum Artikel

Wenn der Schweizer Einbürgerungstest effizient wäre, würde er SO aussehen

115
Link zum Artikel

WEF 2020: Trump ist weg ++ Air Force One in Zürich gestartet

443
Link zum Artikel

Coronavirus: Bereits 56 Todesopfer 

0
Link zum Artikel

Siehst du öfters diesen Vogel? Das hat einen bestimmten Grund

68
Link zum Artikel

Teenie-Idol Billie Eilish (18!) macht Bond-Song. And WHY NOT? Könnte geil werden

73
Link zum Artikel

Weshalb sich Experten nach dem Freispruch der Klimaaktivisten an den Kopf fassen

454
Link zum Artikel

Der lange Weg des Daniele Sette zu seinen ersten Weltcup-Punkten – mit 27 Jahren

3
Link zum Artikel

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

25
Link zum Artikel

5 idiotische Menschentypen, die es im Leben einfacher haben als du

60
Link zum Artikel

Das Wahljahr hat begonnen und Donald Trump steht ziemlich gut da

90
Link zum Artikel

«Warum können viele Männer nicht mit einem Korb umgehen?»

326
Link zum Artikel

Grün wie die Hoffnung – hier kommt das erste Quizz den Huber im 2020!

71
Link zum Artikel

Déjà-vu für die Queen: Als eine geschiedene Amerikanerin den Briten ihren König stahl

28
Link zum Artikel

So viele Ordnungsbussen werden in Basel verteilt – und das sind die häufigsten Vergehen

170
Link zum Artikel

Coronavirus: 2 Verdachtsfälle in Zürich

20
Link zum Artikel

«Habe versucht, so cool wie möglich zu tun» – die Stimmen zu Rinnes rarem Goalie-Goal

7
Link zum Artikel

Sie war Junkie, Kult und Bitch – jetzt ist Elizabeth Wurtzel gestorben

8
Link zum Artikel

Ulrich Tilgner: «Die Amerikaner schiessen im Nahen Osten gerade Eigentor um Eigentor»

90
Link zum Artikel

Ein Shitstorm entlädt sich über Roger Federer – und Greta Thunberg ist mitschuldig

358
Link zum Artikel

Besser extra zu spät als nie: PICDUMP!

131
Link zum Artikel

Das könnte dich auch interessieren:

Die Bolton-Bombe ist explodiert – und zwar ins Gesicht von Donald Trump

198
Link zum Artikel

Vergiss die Dolly-Parton-Challenge – viel interessanter ist die Koala-Herausforderung

11
Link zum Artikel

Eiskalte Dusche für Salvini – was die Wahlniederlage für die Lega bedeutet

17
Link zum Artikel

Was Frauen über Geld wissen sollten und warum Investieren wichtig ist

33
Link zum Artikel

George Soros teilt in Davos aus: «Die Welt wäre ohne Xi und Trump ein besserer Ort»

124
Link zum Artikel

Du willst Wein kaufen, hast aber null Ahnung? So schnappst du dir eine gute Flasche

95
Link zum Artikel

Ohne diese Plakette dürfen Genfer ab sofort nicht mehr in die Innenstadt fahren

66
Link zum Artikel

Warum Haaland ein «richtiger Stürmer» ist und welches BVB-Ritual ihn bald erwartet

118
Link zum Artikel

Andere Länder, andere Sitten und sehr gute Ti-, äh, Brüste

180
Link zum Artikel

50 Tonnen Gras pro Jahr – so viel Cannabis konsumiert die Schweiz

181
Link zum Artikel

Der Bundesrat trifft von der Leyen und Trump und steht mit leeren Händen da

53
Link zum Artikel

Spass beiseite, der PICDUMP ist da!

171
Link zum Artikel

Mario Basler, das Enfant Terrible der 90er, verrät uns, was ihn am modernen Fussball nervt

26
Link zum Artikel

«Ich musste immer noch heftiger, noch brutaler, gröber, wüster sein, als es meine Art ist»

17
Link zum Artikel

Das Reality-Experiment «The Circle» auf Netflix ist DIE Droge

33
Link zum Artikel

«Wir wollen keine Zensur!» ruft der weisse heterosexuelle Mann

565
Link zum Artikel

Wenn der Schweizer Einbürgerungstest effizient wäre, würde er SO aussehen

115
Link zum Artikel

WEF 2020: Trump ist weg ++ Air Force One in Zürich gestartet

443
Link zum Artikel

Coronavirus: Bereits 56 Todesopfer 

0
Link zum Artikel

Siehst du öfters diesen Vogel? Das hat einen bestimmten Grund

68
Link zum Artikel

Teenie-Idol Billie Eilish (18!) macht Bond-Song. And WHY NOT? Könnte geil werden

73
Link zum Artikel

Weshalb sich Experten nach dem Freispruch der Klimaaktivisten an den Kopf fassen

454
Link zum Artikel

Der lange Weg des Daniele Sette zu seinen ersten Weltcup-Punkten – mit 27 Jahren

3
Link zum Artikel

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

25
Link zum Artikel

5 idiotische Menschentypen, die es im Leben einfacher haben als du

60
Link zum Artikel

Das Wahljahr hat begonnen und Donald Trump steht ziemlich gut da

90
Link zum Artikel

«Warum können viele Männer nicht mit einem Korb umgehen?»

326
Link zum Artikel

Grün wie die Hoffnung – hier kommt das erste Quizz den Huber im 2020!

71
Link zum Artikel

Déjà-vu für die Queen: Als eine geschiedene Amerikanerin den Briten ihren König stahl

28
Link zum Artikel

So viele Ordnungsbussen werden in Basel verteilt – und das sind die häufigsten Vergehen

170
Link zum Artikel

Coronavirus: 2 Verdachtsfälle in Zürich

20
Link zum Artikel

«Habe versucht, so cool wie möglich zu tun» – die Stimmen zu Rinnes rarem Goalie-Goal

7
Link zum Artikel

Sie war Junkie, Kult und Bitch – jetzt ist Elizabeth Wurtzel gestorben

8
Link zum Artikel

Ulrich Tilgner: «Die Amerikaner schiessen im Nahen Osten gerade Eigentor um Eigentor»

90
Link zum Artikel

Ein Shitstorm entlädt sich über Roger Federer – und Greta Thunberg ist mitschuldig

358
Link zum Artikel

Besser extra zu spät als nie: PICDUMP!

131
Link zum Artikel

Abonniere unseren Newsletter

7
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Marcel Stör 21.09.2015 20:44
    Highlight Highlight "Es ist äusserst problematisch, wenn Fachleute auf Software aus unbekannter, respektive nicht offizieller, Quelle vertrauen."

    Fachleute machen so was eben genau *nicht*.

    "Der Fall zeigt eindrücklich, dass selbst der abgeschirmte App Store von Apple keinen 100-prozentigen Schutz vor Malware und Schnüffel-Programmen bietet."

    Tja, wer hätte das gedacht, gell.

    "Doch die Kontrollen haben im konkreten Fall versagt. Apple muss sie zwingend verschärfen."

    Worauf dann in Publikationen rund um die Welt Artikel publiziert werden, die sich über die Bevormundung von Benutzern durch Apple beklagen.
  • Oberon 21.09.2015 19:21
    Highlight Highlight Anscheinend gibt es immer noch Leute die glauben das es Systeme gibt die 100% sicher sind.

  • R&B 21.09.2015 12:17
    Highlight Highlight Ich empfinde keine Schadenfreude oder Empörung, dass dies Apple oder anderen Firmen passiert ist.
    Mich ärgert es, dass Konsumenten von elektronischer Ware wegen teurer nie endender Sicherheitsvorkehrungen mehr bezahlen müssen, weil Kriminelle oder Nerds, nach Möglichkeiten suchen, Firmen und deren Kunden zu schädigen.
  • Sir Jonathan Ive 21.09.2015 11:54
    Highlight Highlight Wie kommt man den bitte darauf, als professionelle Softwareentwicklungsfirma XcodeGhost zu benutzen, nur weil es länger dauern würde, um die originale Version aus dem App Store zu laden?
    Vieleicht sollte sich Apple auch um dieses Problem kümmern und eine chinesische Quelle für die Software einrichten, damit Xcode Ghost nicht mehr benutzt wird.
    Weiss vielleicht auch gleich jemand, wie lange es dauert aus China durch den Great Wall eine 4.3 GB (Grösse der aktuellen Version 7) grosse Datei zu downloaden?
  • arpa 21.09.2015 11:36
    Highlight Highlight Da schmunzelt der Androide ;)
    • Middleway 21.09.2015 14:18
      Highlight Highlight Ähä, Android ist ja sicher... war da nicht mal was mit Kreditkartendaten?
    • The_Doctor 21.09.2015 15:53
      Highlight Highlight Weshalb? Weil er sich schon an massive Sicherheitslücken gewöhnt hat (siehe letze Wochen; Hackerkonferenzen)?
      Alle Plattformen haben immer wieder Sicherheitslöcher. Ich finde das allgemein nicht zum Schmunzeln, wenn Nutzer geschädigt werden.

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

SMS, die über den Lieferstatus bestellter Waren informieren, sind praktisch. Doch aktuell versenden Betrüger massenhaft Fake-SMS im Namen von Paketdiensten. Sie haben es auf Kreditkartennummern abgesehen – und locken die Opfer in eine Abofalle.

Schweizer Smartphone-Nutzer werden von einer neuen Phishing-Welle heimgesucht: Kriminelle versenden grossflächig betrügerische Fake-SMS im Namen von Paketlieferdiensten wie DHL oder FedEx. In den Kurznachrichten ist von einem unzustellbaren Paket die Rede. Die Sendung sei im Verteilzentrum angehalten worden. Am Ende der Nachricht folgt ein Link, mit dem man den Sendestatus verfolgen könne.

Der genaue Wortlaut und der Kurzlink, also die abgekürzte Internetadresse in der Phishing-SMS, können von …

Artikel lesen
Link zum Artikel