Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple reagiert auf WireLurker und sperrt das Zertifikat

Gestern wurde bekannt, dass sich in China ein iOS-Schädling ausbreitet, der über verseuchte Mac-Programme verteilt wird und sich über USB auf iPhone und iPad verteilt. Über ein Entwicklerzertifikat für Großunternehmen (Enterprise Provisioning Profile) kann WireLurker dann Code auf dem Geräte ausführen und beispielsweise die Nutzerdaten abgreifen. Apple hat jetzt auf die Berichte reagiert und als ersten Schritt direkt das fragliche Entwicklerzertifikat zurückgerufen. Ist dieses nicht mehr gültig, so geht der Angriff in Zukunft ins Leere - sofern es nicht gelingt, einfach ein weiteres Entwicklerzertifikat zweckzuentfremden.

In einer Stellungnahme gab ein Apple-Sprecher an, man sei sich der Situation und der schädlichen Software bewusst, die von einer Downladseite aus an Nutzer in China verteilt werde. Identifizierte Apps haben man bereits blockiert, um zu verhindern, dass sich diese überhaupt starten lassen. Wie üblich könne man Nutzern nur empfehlen, Software ausschließlich aus vertrauenswürdigen Quellen zu beziehen und zu installieren. Weitere Informationen waren von Apple nicht einzuholen. Schätzungen zufolge wurden in den vergangen sechs Monaten in China mehr als 350.000 verseuchte Mac-Apps heruntergeladen.

Weiterführende Links:

Kommentare

Apfelbutz
Apfelbutz07.11.14 09:14
Apple blockt Apps auf meinem iOS Geräten?
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
jogoto07.11.14 09:17
Keine Sorge, auf Deinen werden sie (hoffentlich) jeden Schadcode gestatten ...
0
zod198807.11.14 09:28
Apfelbutz
Apple blockt Apps auf meinem iOS Geräten?


Nein, Apple sperrt ein zur Installation von Schadsoftware missbrauchtes Zertifikat.
0
Apfelbutz
Apfelbutz07.11.14 10:08
jogoto
Keine Sorge, auf Deinen werden sie (hoffentlich) jeden Schadcode gestatten ...

Man sagt Schadenfreude sei die reinste Freude.
zod1988
Nein, Apple sperrt ein zur Installation von Schadsoftware missbrauchtes Zertifikat.

Identifizierte Apps haben man bereits blockiert, um zu verhindern, dass sich diese überhaupt starten lassen.

Es ging mir um diesen Text in der News. Der lässt vermuten das Apple Apps auf iOS Geräten blockieren kann. Ist dies so?
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
zod198807.11.14 10:20
Apfelbutz
Der lässt vermuten das Apple Apps auf iOS Geräten blockieren kann. Ist dies so?

Ja. Es wäre das erste Mal, dass Apple den Killswitch benutzt, falls der Sprecht den meinte.
0
Stereotype
Stereotype07.11.14 10:24
Apfelbutz
Es ging mir um diesen Text in der News. Der lässt vermuten das Apple Apps auf iOS Geräten blockieren kann. Ist dies so?

Apple hat das Enterprise-Zertifikat gesperrt, damit lässt sich die App nicht mehr installieren.
0
Apfelbutz
Apfelbutz07.11.14 10:35
Stereotype
Apfelbutz
Es ging mir um diesen Text in der News. Der lässt vermuten das Apple Apps auf iOS Geräten blockieren kann. Ist dies so?

Apple hat das Enterprise-Zertifikat gesperrt, damit lässt sich die App nicht mehr installieren.

Alles klar. Diese Sperre ist auch gut und richtig wenn das Zertifikat missbraucht wurde.


@zod1988
Einen "Killswitch" gibt es also auch. Apple hat also jederzeit Zugriff auf mein Handy und kann werken wie es ihnen beliebt. Auch wenn eine App aus dem Store genommen wurde ich diese schon gekauft und installiert habe so kann Apple mir diese App aus dem System löschen.

Finde ich gut diese Fürsorge von Apple.
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
Casa*****07.11.14 10:35
Software ausschließlich aus vertrauenswürdigen Quellen zu beziehen und zu installieren.
also ab sofort keine Adobe-Produkte mehr installieren
0
zod198807.11.14 10:38
Apfelbutz
Einen "Killswitch" gibt es also auch.

Ja, für bösartige Apps, gesetzt den Fall, dass mal eine durch die AppStore Kontrolle kommen sollte.
0
PaulMuadDib07.11.14 10:39
Apfelbutz

Einen "Killswitch" gibt es also auch. Apple hat also jederzeit Zugriff auf mein Handy und kann werken wie es ihnen beliebt.
Nein.
Auch wenn eine App aus dem Store genommen wurde ich diese schon gekauft und installiert habe so kann Apple mir diese App aus dem System löschen.

Finde ich gut diese Fürsorge von Apple.
Frag das mal Google oder Amazon. Die haben den nämlich im Gegensatz schon benutzt.

Klar muß so eine Funktion her. Eben damit bei einer tatsächlichen Katastrophe dem möglichst schnell der Hahn zugedreht wird
0
sierkb07.11.14 10:45
heise (06.11.2014): WireLurker: Malware schleicht sich vom Mac auf iOS-Geräte [Update]
In Software aus einem dubiosen chinesischen App-Laden für OS X ist ein Datenschädling aufgetaucht, der sich per USB-Verbindung auch auf iPhone und Co. übertragen können soll.
(interessant vor allem die Infos, die in den Update-Meldungen von Heise stecken)

The Safe Mac (06.11.2014): New WireLurker malware infects Mac OS X and iOS (interessant die Hintergrund-Infos und das angebotene WireLurker detection script)

Jonathan Zdziarski Blog (05.11.2014): What You Need to Know About WireLurker (interessant seine Analyse und seine Tipps)


Das Blockieren durch Apple des verwendeten Zertifikats, dieses Zertifikats (es darf damit gerechnet werden, dass es mit weiteren Zertifikaten erneut versucht wird, die dann wiederum blockiert werden müssen), kann nur ein erster Schritt sein. Weitere, tiefere Schritte seitens Apple wäre da sinnvoll, sind da wohl geboten. Zdziarski zeigt sie auf.
0
Hannes Gnad
Hannes Gnad07.11.14 11:47
zod1988
Es wäre das erste Mal, dass Apple den Killswitch benutzt
Das ist schon mehrfach vorgekommen, also der Widerruf missbrauchter Zertifikate und somit die Sperrung der damit signierten Apps.
0
Hannes Gnad
Hannes Gnad07.11.14 11:49
Apfelbutz
Einen "Killswitch" gibt es also auch. Apple hat also jederzeit Zugriff auf mein Handy und kann werken wie es ihnen beliebt. Auch wenn eine App aus dem Store genommen wurde ich diese schon gekauft und installiert habe so kann Apple mir diese App aus dem System löschen.
Der "Kill Switch" IST der Widerruf des Zertifikats. Ob die Zertifikate (noch) gültig sind, prüft das iOS regelmäßig von selbst, und die App startet (noch), oder eben nicht (mehr). Apple hat keinen Zugriff auf die Geräte. Tipps für die Literatursuche: Online Certificate Status Protocol (OCSP) und https://www.apple.com/privacy/docs/iOS_Security_Guide_Oct_2014.pdf
0
zod198807.11.14 11:54
Hannes Gnad
zod1988
Es wäre das erste Mal, dass Apple den Killswitch benutzt
Das ist schon mehrfach vorgekommen, also der Widerruf missbrauchter Zertifikate und somit die Sperrung der damit signierten Apps.

Ich dachte immer, die beiden seien getrennt.
0
TheOne2k1407.11.14 11:55
Ist es nicht so, dass WireLuke Apps sowieso nur, wenn überhaupt, auf gejailbreakten Geräten zu finden sind? Warum wird dies nicht mal genauer erläutert, immer diese Panikmache wenns eh nur 2% aller Nutzer betrifft...
0
sierkb07.11.14 12:10
TheOne2k14
Ist es nicht so, dass WireLuke Apps sowieso nur, wenn überhaupt, auf gejailbreakten Geräten zu finden sind?

Nein, dem ist nicht so, und Du bist falsch oder unzureichend informiert. Auch nicht gejailbreakte Geräte können betroffen sein bzw. sind betroffen (unter anderem hat genau deswegen Apple gerade das derzeit verwendete Enterprise-Zertifikat zurückgezogen). Genau das ist u.a. das Problem, die Brisanz.
Warum wird dies nicht mal genauer erläutert

In den Links, die ich oben gepostet habe, wird's genauer erläutert. Lies sie (oder ähnliche), dann weißt Du mehr.
immer diese Panikmache wenns eh nur 2% aller Nutzer betrifft...

Es ist keine Panikmache, und es findet keine Panikmache statt. Es wird lediglich drüber geredet und berichtet, was Sache ist. Nicht mehr und nicht weniger.
Eher dürfen Deine Worte als Versuch der Verharmlosung aus Unwissen heraus gewertet werden – höre auch Du bitte endlich mal auf, jeglicher Berichterstattung, die Dir nicht genehm ist, den Mund zu verbieten und ihr Panikmache zu unterstellen. Die Welt ist leider nicht so rosarot, wie Du sie gerne hättest und gerne drüber berichtet hättest. Face the facts.
0
Apfelbutz
Apfelbutz07.11.14 13:16
Hannes Gnad
Apfelbutz
Einen "Killswitch" gibt es also auch. Apple hat also jederzeit Zugriff auf mein Handy und kann werken wie es ihnen beliebt. Auch wenn eine App aus dem Store genommen wurde ich diese schon gekauft und installiert habe so kann Apple mir diese App aus dem System löschen.
Der "Kill Switch" IST der Widerruf des Zertifikats. Ob die Zertifikate (noch) gültig sind, prüft das iOS regelmäßig von selbst, und die App startet (noch), oder eben nicht (mehr). Apple hat keinen Zugriff auf die Geräte. Tipps für die Literatursuche: Online Certificate Status Protocol (OCSP) und https://www.apple.com/privacy/docs/iOS_Security_Guide_Oct_2014.pdf


Vielen Dank. Genau um diese Information ist es mir gegangen.
Das Dienste und in dem Fall auch Programme nicht mehr starten wenn Zertifikate ungültig sind dagegen ist nichts einzuwenden. Die Sicherheit von iOS ist ein gewichtiges Argument.
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
Thunderbolt07.11.14 16:30
sierkb

Aber die WreLuke App hat auf einem Gerät ohne Jailbreak keinen Zugriff auf irgendwelche Daten. Sie kann zwar installiert werden, aber dann nichts tun. Ausserdem erscheint beim Start der App eine Meldung, ob man dem Herausgeber wirklich vertrauen will.

Weshalb schreibst du das nicht auch sierkb?

Es gilt: Wer Software nur aus seriösen Quellen bezieht und sein iPhone oder iPad nicht jailbreaked und nur an seine eigenen Geräte zuhause anschliesst, ist nicht gefährdet. Ganz besorgte User erlauben zudem nur den App-Download aus dem Mac App Store.
0
sierkb07.11.14 17:48
Thunderbolt:

Warum sollte da irgendjemand vorzeitig Entwarnung geben, wenn man gerade erst dabei ist zu eruieren, was es mit dieser voeliegenden Schadsoftware alles ist und was die macht. Zumal sie die Grundlagen legt für Weiteres und Weiteres zu befürchten ist. Siehe auch Zdziarskis Ausführungen dazu. Und bisher hatte er mit allem recht, was er gesagt und vorausgesagt hat bzw. Apple hat sich z.B. bei seinen Abdichtungen bzgl. iOS 8.0 recht genau an das gehalten, was er aufgedeckt und anempfohlen hatte.
Also alles kein Grund, hier Entwarnung zu geben, sondern wachsam zu sein. Und genau um Letzeres geht es. Panik schiebt hier keiner und ist auch nicht angebracht. Aber Wachsamkeit. Und um nichts anderes drehen sich die Berichte drüber.
0
schorscho
schorscho07.11.14 21:51
@sierkb
Es war sicherlich gut für Dich, darüber gesprochen zu haben. Ich meine die Wachsamkeit und so.
0
sierkb08.11.14 02:03
heise (07.11.2014): WireLurker zielt auch als Windows-Trojaner auf iOS-Geräte ab
Nebem dem Mac-Trojaner haben Sicherheitsforscher inzwischen auch eine Windows-Ausführung aufgespürt. Sie hat es ebenfalls auf angeschlossene iPhones oder iPads abgesehen und schleust auf diesen Malware ein.

palo alto networks (06.11.2014): WireLurker for Windows
0
teorema67
teorema6708.11.14 21:15
Es gibt keine Viren oder Trojaner für MacOS oder iOS. Das Risiko ist null und niemand braucht sich irgendwelche Sorgen machen.
Rassismus ist, überall Rassismus zu wittern, wo keiner ist, und damit echten Rassismus zu bagatellisieren. (Dieter Nuhr)
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.