XcodeGhost: Schadsoftware im App Store durch manipulierte Xcode-Entwicklungsumgebung

XcodeGhost ist ein Schadprogramm, das erstmals im großen Stil iPhones und iPads befällt, ohne als Einfallstor den Jailbreak zu nutzen.

Apple has had to remove more than 300 malware-infected apps from its app store after a tainted version of its developer tools led to a number of Chinese apps leaking users’ personal information to hackers.

The company confirmed on Sunday night that it was removing the apps after several cybersecurity firms reported finding a malicious program dubbed “XcodeGhost” that was embedded in hundreds of legitimate apps.

Apple removes malicious programs after first major attack on app store“ | Alex Hern

Wie kam es zur Infektion?

Die Theorie, die das offizielle Q&A mehr oder weniger bestätigt, lautet wie folgt: Chinas Internetanbindung zu ausländischen Servern scheint extrem schlecht. Anstelle die mehrere Gigabyte große Xcode-Entwicklungsumgebung aus dem offiziellen App Store zu laden, griffen iOS-Entwickler(‑Teams) zu einer manipulierten Software-Version aus einem Forum (das die Datei von einem Server aus dem Inland anbot und damit sehr flott bereitstellte). Über diese manipulierte Version schmuggelten die Angreifer dann Schadcode in die Apps und den App Store – ohne das Wissen der jeweiligen Software-Produzenten.

In einem zu erwartenden ersten Schritt empfiehlt Apples seit heute die Echtheit der installierten Entwicklungsumgebung zu prüfen:

IPhoneBlog de XcodeGhost

Wie viele Apps und Nutzer betroffen sind, bleibt schwierig zu beziffern. Die Schwachstelle, und das bleibt besonders zu betonen, ist nicht primär ein technisches Problem. Ich bin mir sicher: Xcode (samt Plugin-Architektur) wird eher früher als später ein paar zusätzliche Sicherheitsroutinen bekommen. Auch der App-Store-Prüfprozess, der hier eindeutig versagt hat, muss das Katz-und-Maus-Spiel erneut aufnehmen. Soweit die technischen Mängel.

Die eigentliche Schwachstelle aber, und das muss sich Apple vorwerfen lassen, ist fehlendes Gespür für die Entwicklergemeinschaft im für sie am wichtigsten Markt. Wenn über 300 Apps, darunter große Studios wie der chinesische ‚Angry Birds 2‘-Produzent, WeChat oder Didi Chuxing, das chinesische Uber, Download-Probleme mit Xcode haben, muss das auffallen. Es muss sich a) herumsprechen und b) Apple erreichen (um dann DVDs zu verschicken, eine Kopie auf lokale Server zu laden oder persönlich in den Büros vorbeizufahren).

Du wirst immer einzelne Personen haben, die auf klassische Trojaner-Tricks wie dieses Download-Angebot aus einem Forum hereinfallen. Eine derartig systematische Übernahme von Rechnern (die manipulierte XcodeGhost-Version rangierte zeitweise an Position 2 der Google-Suche), muss man aber zeitig erkennen.

Es ist noch zu früh um die Auswirkungen von XcodeGhost (als Außenstehender) zu beurteilen. Apples Statement liest sich so:

We have no information to suggest that the malware has been used to do anything malicious or that this exploit would have delivered any personally identifiable information had it been used.

We’re not aware of personally identifiable customer data being impacted and the code also did not have the ability to request customer credentials to gain iCloud and other service passwords.

Und weiter:

A list of the top 25 most popular apps impacted will be listed soon so users can easily verify if they have downloaded the latest versions of these apps. After the top 25 impacted apps, the number of impacted users drops significantly.

Customers will be receiving more information letting them know if they’ve downloaded an app/apps that could have been compromised. Once a developer updates their app, that will fix the issue on the user’s device once they apply that update.

Auch wenn XcodeGhost nur ein kurzes Schreckensgespeist bleiben, einen neuen Angriffsvektor hat es aufgezeigt.

Vodafone [Sponsor]

Vodafone unterstützt in dieser Woche abermals das iPhoneBlog als Sponsor. Wie ihr mittlerweile wisst, war ich für Featured, ihr Online-Magazin, Anfang September in San Francisco. Noch stehen ein paar Folgen dieser Interview-Serie aus; schon in den nächsten Tagen geht es damit weiter (auf der Facebookseite von Vodafone Deutschland, über @Vodafone_de und natürlich auch bei mir).

In der letzten Woche ging es hier um die iOS-Software, mit der wir die Gespräche aufgezeichnet haben. Dieser Blogpost soll einen weiteren kleinen Einblick ins Projekt geben und zeigen wie es entstanden ist. Diesmal dreht sich alles um die Postproduktion.

Geschnitten wurde ganz old-school mit Final Cut Pro 7 im Format ProRes 422. In dieses Videoformat wandelten wir alle Aufnahmen des iPhones und der iPods um. Je nach Aufnahmelänge und Kapazität des Computers dauert das ein paar Stunden. Das MacBook Pro vor Ort rechnete an dieser Aufgabe immer dann, wenn wir das Hotelzimmer einmal verließen.

Im ersten Schritt synchronisierten wir die Haupt-Videospur mit der aufgenommenen Audiodatei aus dem Zoom-Recorder. Ein lautes Klatschen, jeweils vor jedem Shooting, half dabei die passende Stelle zu finden. In der ersten Durchsicht des Materials schrieben wir uns interessante Stellen und dessen Zeitcode heraus. Im Anschluss versuchten wir aus diesen Schnipseln eine logische und nachvollziehbare Struktur zu basteln, die a) natürlich nichts an der Aussage ändert und b) die Zeitlänge von fünf bis sieben Minuten einhält.

Ist eine Auswahl getroffen, bleibt zu erkunden ob die Interview-Segmente optisch und akustisch zusammenpassen. Zum Teil bedienen wir uns schon jetzt Schnittbildern und anderen Kameraperspektiven, die immer dann wechseln wenn ein Cut zu hart aussieht. Das klappte mitunter schnell und dauerte nur einen Vormittag; manchmal sucht man aber auch ein paar Stunden mehr bis der Aufbau steht.

Ist der Grobschnitt inhaltlich abgesegnet, kann man damit beginnen Schnittbilder für Zwischensequenzen zuzuordnen, Kamerapositionen festzulegen und mit Musikuntermalung das Intro zu bauen.

Ist das alles getan, geht der fertige Film durch DaVinci Resolve – eine Art ‚Photoshop für Video‘ – um je nach Szene die Farbe anzupassen. Nur eins von vielen Beispielen: Mein Hinterkopf war mehrmals prominent im Bild. Mit ein bisschen (nachträglich aufgetragener) Unschärfe kann man eure Aufmerksamkeit wieder aufs Interview lenken.

Dieser lustig geschriebene, aber mit vollem Ernst so durchgezogene Programmplan, führte uns zum fertigen Video.

Die finale Filmdatei rechnet zum Schluss Handbrake (FFmpeg) klein. Im Schnitt Durchschnittlich sind unsere finalen Videodateien, so wie sie dann auf YouTube, Facebook und Co. landen, zirka 400 Megabyte groß.

Erneut ein großes Dankeschön an Vodafone, die meine Interview-Serie in San Francisco ermöglichten und in dieser wichtigen iPhone-Release-Woche – hier geht es zu ihrem Angebot für die neuen Apple-Telefone – im iPhoneBlog als Sponsor auftreten.

Wartemarke ziehen! watchOS 2 steht zum Download

Die Release-Notes sind lang (und bestückt mit vielen Kleinigkeiten), watchOS 2 ist in erster Linie aber vorrangig ein technisches Update, das nur bedingt kosmetische Änderungen mitbringt. Aus der Reihe fallen verspielte Zifferblätter; Time Travel und den Weckermodus werte ich als logische Erweiterungen für die Uhr.

Zwei Funktionen, die mich freuen: ‚FaceTime Audio‘-Gespräche sowie die Navigation durch den öffentlichen Nahverkehr.

IPhoneBlog de watchOS 2

Was aber tatsächlich zählt, ist der neu eröffnete Trampelpfad für Entwickler. Mit watchOS 2 ist es den App-Produzenten beispielsweise möglich mit ihren Programmen die Sensoren der Uhr auszulesen. David Smith hat mit Sleep++ (kostenlos; App-Store-Link) gleich heute eine App freigegeben, die eure Bewegungen im Schlaf über das Handgelenk festhält.

Ein zentrales Element sind ab sofort auch Komplikationen, so wie sie die Wetter-App Dark Sky (US-Link) verspricht – oder iTranslate (kostenlos; App-Store-Link) mit Übersetzungen. Zuvor waren die Informationen neben der Anzeige von Stunde, Minute und Sekunde alleine Apple vorbehalten.

Die größte aller Änderung sind natürlich native Apps, die nun direkt auf der Uhr laufen (können). Ich habe während der Beta-Phase im Sommer jedoch keine einzige dieser Anwendungen ausprobiert, so dass ich mich selbst überraschen lasse welche Software-Updates wir in den nächsten Tagen sehen (und wie sie sich unter den neuen Voraussetzungen schlagen).

Um sich die Zeit während der (langen) Installation von watchOS 2 zu vertreiben, kann ich den ausführlichen Bericht von Alex Guyot empfehlen.

Million Dollar Baby: iOS 9 erzwingt höchstes Kopfgeld für eine Sicherheitslücke

IPhoneBlog de Exploit

Today it’s come into the spotlight with the biggest bounty ever publicly offered for a single such exploit: $1 million for a technique that can break into an iPhone or iPad running Apple’s freshly released iOS 9. […]

When I assembled a price list for secret software exploits in 2012 based on talking to players in the zero-day trade, an iOS exploit sold for $250,000, far more than the mere $60,000 for an Android hack. The next year, the New York Times reported that an iPhone zero-day sold for $500,000.

Spy Agency Contractor Puts Out A $1m Bounty For an iPhone Hack“ | Andy Greenberg | via Andreas Bogk

Auch ein (PR-trächtiger) Rekord, irgendwie.

Apple: „Über 50 Prozent aller Geräte laufen bereits unter iOS 9“

IPhoneBlog de 25 September

„Die Kundenresonanz auf das iPhone 6s und iPhone 6s Plus ist unglaublich positiv und wir können es nicht erwarten unsere bisher besten iPhones den Kunden ab Freitag auszuhändigen,“ sagt Philip Schiller, Senior Vice President of Worldwide Marketing von Apple. „iOS 9 legt ebenfalls einen atemberaubenden Start hin und ist auf dem besten Weg, von mehr Anwendern heruntergeladen zu werden als jede andere Software in der Geschichte von Apple.“

Apple.com/PR

Aktueller Zwischenstand: iOS 9 hat es in nur einer halben Woche bereits auf die Hälfte aller iOS-Geräte geschafft.

Insert Moin #1393: Apple TV für Gaming?

Mit Daniel und Markus podcastete ich in der letzten Woche über das Potenzial von App-Store-Spielen auf dem neuen Apple TV.

IPhoneBlog de Insert Moin AppleTV

IM1393: Le Brunch: Apple TV für Gaming?

Was sich zum Zeitpunkt der Aufnahme im Internet noch nicht herumgesprochen hatte: Alle Spiele müssen zwingend mit der beigelegten Fernbedienung zu spielen sein. Ein MFi-Gamepad gilt unter Apples Vorgaben nur als optionales Zubehör. Auch auf iPhone und iPad sind die Drittanbieter-Controller ausschließlich Extra-Equipment; alle Games müssen zuerst per Touchscreen zu steuern sein.

Wie für alle Konsolen gilt: Zubehör, das nicht direkt beiliegt, sondern separat bezahlt werden muss, kann man als Entwickler nicht voraussetzen. Ich hoffe, Apples Pencil fürs iPad Pro bekommt dadurch kein Problem. Entwickler könnten die Priorität eines solchen Features heruntersetzen bis eine hinreichende Anzahl der 100-Euro-Hardware verkauft ist.

Diese Sorge gilt auch für Spielcontroller. Hier kommt aber noch erschwerend hinzu, dass der Remote-Touch-Zwang nur zu App-Store-Spielen führt, die im Rahmen der limitierten Eingabemethode funktionieren. So scheinen Titel wie das fantastische Geometry Wars 3: Dimensions für den Apple TV ausgeschlossen.

‚Face to Facetime‘ – mein Ausflug zu LinkedIn

Lutz Finger ist Autor von ‚Ask Measure Learn‘; über seine unregelmäßige Kolumne auf Forbes kannte ich ihn bereits vor unserem Gespräch, das sich ums Netzwerk LinkedIn dreht, bei dem er als ‚Director of Data Science‘ arbeitet.

Video

Neue ‚Face to Facetime‘-Folgen gibt es zuerst auf Featured, sie werden verlinkt über @Vodafone_de und geteilt auf Facebook.

Marco Arment stoppt den Verkauf seines Adblockers ‚Peace‘

IPhoneBlog de Peace

Marco Arment zieht Peace aus dem App Store zurück. 12.000 bezahlte Downloads verzeichnete der Werbeblocker nach wenigen Stunden; im Anschluss daran begann jedoch erst der eigentliche Aufstieg in die Charts der umsatzstärksten Apps.

I still believe that ad blockers are necessary today, and I still think Ghostery is the best one, but I’ve learned over the last few crazy days that I don’t feel good making one and being the arbiter of what’s blocked. […]

I know pulling Peace from the store after just two days is going to be an immensely unpopular move, and subject me to a torrent of unpleasantness. But that’ll end soon enough, and that’s better than how I’d feel if I kept going.

Just doesn’t feel good

Gut für ihn; andere werden aber seinen Platz besetzen. Und seelenlose Banner sowie aufdringliche Tracking-Codes bleiben unverändert schwer vermittelbar.