Sicherheitslücke? Gefälschte Apps klauen Daten vom iPhone

10
37
Bild: © Victoria - Fotolia.com
Bild: © Victoria - Fotolia.com

iPhone-Nutzer sollten bei der Verwendung von Apps derzeit wachsam sein, denn Experten haben nun einen Weg gefunden, wie normale Apps durch eine manipulierte Fälschung ersetzt werden können, die dann wiederum Daten der Nutzer abgreift. Betroffen seien vor allem Geräte mit iOS7 und iOS8.

IT-Sicherheitsexperten warnen vor einem möglichen Angriff auf Apples iPhones, mit dem Schadsoftware auf die Geräte geschummelt werden könne. Dabei würden echte Apps durch gefährliche Doppelgänger ausgetauscht. Bei dem beschriebenen Angriffsversuch bekämen Nutzer allerdings Warnungen angezeigt, die sie stutzig machen sollten.

Der Austausch einer Original-App gegen eine manipulierte Fläschung sei nicht über den App Store von Apple möglich. Stattdessen laufe er über eine Funktion, die es Unternehmen erlaubt, eigene Anwendungen direkt auf die Geräte zu bringen, erläuterte die Sicherheitsfirma FireEye am späten Montag in einem Blogeintrag. In dem beschriebenen Szenario bekommen Nutzer etwa über eine Kurznachricht oder eine Website die Aufforderung, eine App zu installieren. Sie werden vom iPhone gewarnt, dass die Anwendung aus einer potenziell unsicheren Quelle stamme. Stimmen die Nutzer dennoch zu, könne sich eine präparierte App an die Stelle einer echten Anwendung setzen. Ein Angreifer könnte so Daten von Apps ausspähen, die die Handybesitzer bereits vorher benutzten.
 
In einem Test sei es den Forschern gelungen, eine App für Googles E-Mail-Dienst Gmail durch eine eigene Anwendung zu ersetzen. Die gespeicherten bisherigen Mails seien dabei weiterhin sichtbar gewesen und ließen sich auch abgreifen, warnte die Sicherheitsfirma.
 
Besonders gefährlich werde es, wenn Apps von Banken oder Online-Händlern ersetzt würden, in denen Nutzer ihre Login-Daten eintragen, warnte FireEye. In einigen Fällen könne die gefälschte App auch auf Daten des Originals zugreifen, bis hin zu den sogenannten Login-Token, mit denen ein direkter Zugriff auf Konten möglich sei.
 
Apple äußerte sich zunächst nicht zu dem FireEye-Bericht. Der Konzern sei Ende Juli von Erkenntnissen unterrichtet worden, erklärte FireEye.
 
Der Austausch sei möglich, wenn die gefälschte App den gleichen Systemnamen wie die echte Anwendung trage, erläuterte FireEye. Diese sogenannten „Bundle IDs“ werden dem Nutzer nicht angezeigt, aber in Apples Infrastruktur im Hintergrund verwendet, um Anwendungen zu erkennen. Im FireEye-Beispiel mit der GMail-App etwa lautet der Name „com.google.GMail“. Die Firma nannte das Angriffsszenario „Masque Attack“, weil sich die schädliche App tarnt oder maskiert. Betroffen seien verschiedene Versionen der Apple-Betriebssysteme iOS7 und iOS8. [dpa/fm]

Bildquelle:

  • Technik_Web_Artikelbild: © Victoria - Fotolia.com
10 Kommentare im Forum
  1. AW: Sicherheitslücke? Gefälschte Apps klauen Daten vom iPhone Wer so blöd ist, und sich etwas über Links, die er per SMS bekommt, herunterlädt, ist selbst schuld.
  2. AW: Sicherheitslücke? Gefälschte Apps klauen Daten vom iPhone Was heißt hier "blöd"?!? Jeder einzelne ist blöd der ein Smartphone hat. Denn es gibt weit weniger Apps die auf sämtliche "Rechte" verzichten, als solche die standardmäßig in der Programmierung über Rechte implementiert haben, die kaum jemand beachtet. Das Eine ist krimineller Datenklau und das Andere ist eine rechtliche Grauzone würde ich sagen, wo die üblichen oder legalen/legitimierten Apps die Daten auslesen. Man sieht an so manchen Apps, dass diese ohne Rechte auskommen können, das kann und muss für alle Apps gelten! Aber darum scheint sich auch keiner zu scheren. Ich achte da drauf so gut es eben geht, auf solche Apps zu verzichten, die über Rechte verfügen, die ich denen nicht einräumen will. Und wenn die Apps auf diese Rechte beharrt und es keine Alternativ-Apps dazu gibt, dann verzichte ich drauf. So einfach kann das sein als Nutzer. Aber da es genug Lemminge gibt, wird es die Wirtschaft auch weiter so halten, den Konsumenten bzw Nutzer gläsern zu machen bzw sogar zu lenken. Es reicht schon dass das Smartphone an sich die Möglichkeit hat Daten auszulesen. das noch mit zusätzlichen Apps zu forcieren bzw zu multiplizieren muss nicht sein. Jeder geht zu nachlässig mit seinen Daten um. Jeder Einzelne ist zur gekauften *ure (nichts gegen diesen Berufsstand) der Wirtschaft geworden und keiner hat es gemerkt.
  3. AW: Sicherheitslücke? Gefälschte Apps klauen Daten vom iPhone Naja aber auch über Webseiten wo man auf Updates hingewiesen wird. (so wie bei einem PC auch)
Alle Kommentare 10 im Forum anzeigen

Kommentieren Sie den Artikel im Forum