Kommentar des Sicherheitsspezialisten Udo Schneider vom IT-Sicherheitsanbieter Trend Micro
Wirelurker: Angriff oder Angriffstest?
Zurzeit machen Nachrichten über den Trojaner "Wirelurker" die Runde, der vor allem Apple-Geräte gefährdet. Insbesondere wird dabei betont, dass der Trojaner Geräte auch ohne Jailbreak infizieren kann. Doch das scheint gar nicht das Ziel der Angreifer gewesen zu sein. Ein Risiko mit tatsächlicher Malware gab es nur für Geräte, bei denen ein Jailbreak vorlag. Das wahre Problem mit Wirelurker besteht weniger in der Bedrohung selbst als vielmehr in Apples Funktionalität des Unternehmens-Provisioning. Gelingt es Apple nicht, diesen Aspekt des Geräte-Managements abzusichern, entsteht dauerhaft ein hohes Bedrohungspotenzial, so der Sicherheitsspezialist Udo Schneider von Trend Micro.
Wirelurker stellt laut Schneider derzeit keine aktuelle Bedrohung für Apple-Anwender dar. Denn die bekannten Varianten werden von OS X geblockt und die Befehls- und Kontroll-Server sind alle vom Netz genommen worden. Vor allem aber habe Apple das gestohlene Zertifikat, das den Angriff erst ermöglichte, zurückgenommen und damit das wirklich Neue an der Bedrohung, nämlich die Installation von Apps auf Geräten ohne Jailbreak, zunichte gemacht.
Der Angriffsweg von Wirelurker verläuft über trojanisierte, also gekaperte Apps, nicht über Sicherheitslücken. Um eine solche App auf Geräten ohne Jailbreak zu installieren, müssen Angreifer und Nutzer das sogenannte Unternehmens-Provisioning verwenden, ein Bestandteil des Apple-Managements für mobile Geräte. Es wird normalerweise dazu genutzt, angepasste Apps auf die IOS-Geräte einer Organisation zu installieren.
Schneider weiter: „Bislang liegen meinen Kollegen aus der Bedrohungsforschung allerdings keinerlei Hinweise auf über diesen Weg verbreite Apps vor, die tatsächlich Schadcode enthalten. Es handelt sich bei Wirelurker und den auf Geräten ohne Jailbreak verbreiteten unerwünschten, aber nicht gefährlichen Apps also eher um einen Test für zukünftige Bedrohungsszenarien und weniger um eine echte Attacke.“
Und genau dort liege das Problem: Sollte es Cyberkriminellen erneut gelingen, legitime Apple-Zertifikate zu stehlen, können sie wieder den Weg über das Unternehmens-Provisioning wählen. Es scheint den Angreifern bei Wirelurker also weit mehr darum gegangen zu sein auszutesten, wie man über Apple-Geräte in Unternehmensnetze eindringen kann, als Privatanwender zu attackieren.
Schneider: „Apple sollte deshalb diesen Teil seines Geräte-Managements überarbeiten, um das Bedrohungs- und Angriffsszenario, das Wirelurker vor Augen geführt hat, in Zukunft unmöglich zu machen. Dies gilt insbesondere für das Glied in der Angriffskette, an dem der Nutzer beteiligt ist. Denn dieser muss explizit seine Einwilligung zur Installation von Apps geben, die über das Unternehmens-Provisioning bereitgestellt werden. Und es dürfte für den Anwender sehr schwer bis unmöglich sein, zwischen guten und schädlichen Apps zu unterscheiden.“
Weitere Informationen zu Wirelurker und den Gefahren, die davon ausgehen, sind im deutschsprachigen Trend Micro-Blog abrufbar.
Neue Malware greift Apple-Systeme an
Check Point: Sicherheits-Gateways fürs Datacenter
Juniper: Mehr Sicherheit am Netzwerkperimeter
Manageengine: Security-Event-Alarme in Echtzeit
Check Point: Leistungsstarke Sicherheits-Appliance für Rechenzentren
Palo Alto Networks: Next-Generation Firewall ohne Bandbreiteneinbußen
Lesen Sie mehr zum Thema
