iOS Bezahl-Apps gegen Fälschungen austauschbar und unabhängig vom App-Store verteilbar

FireEye, ein Sicherheitsunternehmen, hat auf Youtube demonstriert, wie per Enterprise-Zertifikat Apps installiert werden können, die auf dem iPhone befindliche ersetzen – nur der Bundle-Identifier müsse übereinstimmen, so heise.

Der als "Masque Attack" getaufte Exploit arbeitet mit manipulierten Doppelgänger-Anwendungen.

Unabhängig vom App-Store lassen sich diese, wenn man über ein Enterprise-Zertifikat verfügt, ebenfalls installieren.

Für ein Enterprise-Zertifikat müssen pro Jahr allerdings 300 Dollar an Apple hingeblättert werden.

Im Fall von Mails oder Bezahl-Apps stellt das sicherlich ein großes Sicherheitsrisiko dar, da Doppelgänger-Apps Bezahl- und Kontakt-Daten weiterleiten könnten.

Nutzer werden zwar gewarnt und müssten die Installation bestätigen. Wenn allerdings diese Hürde genommen wurde, stünden dem Betrug Tür und Tor offen, berichtet FireEye.

Der iOS-Sicherheitsexperte Jonathan Zdziarski hatte die von FireEye nun demonstrierte Angriffsform bereits Anfang Oktober in seinem Blog beschrieben.

Hier zeigte er, wie es möglich war, die populäre Twitter-App TweetBot so zu manipulieren, dass sie keine Werbung mehr zeigte – und konnte sie dann wieder auf dem iOS-Gerät installieren.

Apple äußerte sich zunächst nicht zu dem FireEye-Bericht. Nutzer sollten in Reaktion auf die Angriffsform, die in ähnlicher Form auch vom in China kursierenden WireLurker-Schädling verwendet wurde, keinesfalls Apps außerhalb des App Stores installieren beziehungsweise bei merkwürdigen Nachfragen lieber auf "Nein" klicken.

Gleiches gilt für den Wunsch von Enterprise- oder Entwickler-Zertifikaten, sich zu installieren.

In den iOS-Einstellungen kann man zudem überprüfen, ob solche Zertifikate bereits auf dem Gerät sind und diese löschen, sollten sie nicht willentlich auf dem Gerät sein. (dk)