XcodeGhost: Schadsoftware im App Store durch manipulierte Xcode-Entwicklungsumgebung

22. September 2015 – 20:51 Uhr

XcodeGhost ist ein Schadprogramm, das erstmals im großen Stil iPhones und iPads befällt, ohne als Einfallstor den Jailbreak zu nutzen.

Apple has had to remove more than 300 malware-infected apps from its app store after a tainted version of its developer tools led to a number of Chinese apps leaking users’ personal information to hackers.

The company confirmed on Sunday night that it was removing the apps after several cybersecurity firms reported finding a malicious program dubbed “XcodeGhost” that was embedded in hundreds of legitimate apps.

„Apple removes malicious programs after first major attack on app store“ | Alex Hern

Wie kam es zur Infektion?

Die Theorie, die das offizielle Q&A mehr oder weniger bestätigt, lautet wie folgt: Chinas Internetanbindung zu ausländischen Servern scheint extrem schlecht. Anstelle die mehrere Gigabyte große Xcode-Entwicklungsumgebung aus dem offiziellen App Store zu laden, griffen iOS-Entwickler(‑Teams) zu einer manipulierten Software-Version aus einem Forum (das die Datei von einem Server aus dem Inland anbot und damit sehr flott bereitstellte). Über diese manipulierte Version schmuggelten die Angreifer dann Schadcode in die Apps und den App Store – ohne das Wissen der jeweiligen Software-Produzenten.

In einem zu erwartenden ersten Schritt empfiehlt Apples seit heute die Echtheit der installierten Entwicklungsumgebung zu prüfen:

Wie viele Apps und Nutzer betroffen sind, bleibt schwierig zu beziffern. Die Schwachstelle, und das bleibt besonders zu betonen, ist nicht primär ein technisches Problem. Ich bin mir sicher: Xcode (samt Plugin-Architektur) wird eher früher als später ein paar zusätzliche Sicherheitsroutinen bekommen. Auch der App-Store-Prüfprozess, der hier eindeutig versagt hat, muss das Katz-und-Maus-Spiel erneut aufnehmen. Soweit die technischen Mängel.

Die eigentliche Schwachstelle aber, und das muss sich Apple vorwerfen lassen, ist fehlendes Gespür für die Entwicklergemeinschaft im für sie am wichtigsten Markt. Wenn über 300 Apps, darunter große Studios wie der chinesische ‚Angry Birds 2‘-Produzent, WeChat oder Didi Chuxing, das chinesische Uber, Download-Probleme mit Xcode haben, muss das auffallen. Es muss sich a) herumsprechen und b) Apple erreichen (um dann DVDs zu verschicken, eine Kopie auf lokale Server zu laden oder persönlich in den Büros vorbeizufahren).

Du wirst immer einzelne Personen haben, die auf klassische Trojaner-Tricks wie dieses Download-Angebot aus einem Forum hereinfallen. Eine derartig systematische Übernahme von Rechnern (die manipulierte XcodeGhost-Version rangierte zeitweise an Position 2 der Google-Suche), muss man aber zeitig erkennen.

Es ist noch zu früh um die Auswirkungen von XcodeGhost (als Außenstehender) zu beurteilen. Apples Statement liest sich so:

We have no information to suggest that the malware has been used to do anything malicious or that this exploit would have delivered any personally identifiable information had it been used.

We’re not aware of personally identifiable customer data being impacted and the code also did not have the ability to request customer credentials to gain iCloud and other service passwords.

Und weiter:

A list of the top 25 most popular apps impacted will be listed soon so users can easily verify if they have downloaded the latest versions of these apps. After the top 25 impacted apps, the number of impacted users drops significantly.

Customers will be receiving more information letting them know if they’ve downloaded an app/apps that could have been compromised. Once a developer updates their app, that will fix the issue on the user’s device once they apply that update.

Auch wenn XcodeGhost nur ein kurzes Schreckensgespeist bleiben, einen neuen Angriffsvektor hat es aufgezeigt.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Benutzerdefiniert
Anbieter	Memberful
Zweck	Our membership system is managed by Memberful.com. Certain cookies from memberful.com will be added to your computer if you become a member of iPhoneBlog #one.
Datenschutzerklärung	https://memberful.com/cookie-policy/
Host(s)	memberful.com
Cookie Name	Membership
Cookie Laufzeit	365

Name	Benutzerdefiniert
Anbieter	VG Wort
Zweck	Das Cookie der VG Wort hilft die Kopierwahrscheinlichkeit unserer Texte zu ermitteln und stellt die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen sicher. IP-Adressen werden nur in anonymisierter Form verarbeitet.
Datenschutzerklärung	https://www.vgwort.de/hilfsseiten/datenschutz.html
Host(s)	*vgwort.de
Cookie Name	srp
Cookie Laufzeit	Sitzung

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre