Ab CHF 5.– im Monat
👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.
Modifizierte Xcode-Version schleust Malware in App Store ein
Hacker haben eine modifizierte Version von Xcode über ein File-Sharing-Dienst angeboten. Zahlreiche Entwickler — darunter auch namhafte — bezogen diese Version und erstellten Apps damit. Unwissentlich schleusten sie so Malware in den App Store, denn auch Apples Code-Kontrolle entdeckte die versteckte Schadsoftware nicht. Mittlerweile wurden die infizierten Apps aus dem Store entfernt. Auch will ein angeblicher Autor des Tools die mit der Malware abgefangenen Daten nicht kriminell genutzt und bereits wieder gelöscht haben.
Am Wochenende wurde bekannt, dass Hacker die Apple Entwicklungs-Umgebung «Xcode» kopiert und verändert auf einem File-Sharing-Dienst angeboten haben. Über die modifizierte Version wurde Malware in den App Store infiltriert — die Hacker haben dabei keine eigenen Apps in den Store geladen, sondern das modifizierte Xcode über ein File-Sharing-Dienst angeboten. Zahlreiche Entwickler — darunter auch namhafte — luden diese modifizierte Version herunter und entwickelten damit ihre Apps. Unwissentlich mit Malware der Hacker gespickt, wurden die Apps danach von den Entwicklern in den App Store geladen. Die versteckte Schadsoftware wurden auch bei Apples Kontrollen nicht entdeckt. Das Sicherheitsunternehmen «Palo Alto Networks» hat die infizierte Xcode-Version — «XcodeGhost» genannt — entdeckt und die Sicherheitslücke bekannt gemacht. Betroffen sind Xcode-Versionen von 6.1 bis 6.4 — verteilt wurden sie über den Dienst «Baidu».
Laut der Sicherheitsfirma sollen infizierte Apps Informationen über die Geräte sammeln und diese an einen Server weiterleiten. Von diesem Server aus können die betroffenen Geräte gesteuert werden — beispielsweise sollen URLs geöffnet, Inhalte in die Zwischenablage übertragen und Dialog-Meldungen gefälscht werden.
Zuerst wurden dutzende Apps ausgemacht, die durch die Code-Kontrolle von Apple gekommen sind und im App Store verfügbar waren, aber eigentlich infiziert waren. Vor allem Apps für den chinesischen Markt sind betroffen, aber auch ein paar international erfolgreiche Titel wie beispielsweise «Angry Birds 2» oder der Chat-Klient «WeChat». Durch letzteren wurde die ganze Sache ursprünglich auch entdeckt. Die Firma Tencent bemerkte bei WeChat verdächtige Netzwerk-Übertragungen. Mittlerweile ist bekannt, dass fast hundert Apps betroffen waren. Die chinesische Sicherheitsfirma «Qihoo360» spricht sogar von fast 350 Titeln.
Apple bestätigt Vorfall
Apple hat den Vorfall am Wochenende bestätigt und die betroffenen Apps sofort nach dem Bekanntwerden der Lücke aus dem App Store entfernt. Beispielsweise vom Chat-Klient WeChat ist bereits wieder eine korrigierte Version veröffentlicht worden.
Trotzdem bleibt ein sehr fahler Beigeschmack. Die Entwickler agierten nichtsahnend als Virenschleuder. Auch Apples Code-Kontrollen haben die Malware nicht entdeckt.
Apple weisst strickte darauf hin, dass Entwickler Xcode immer nur von Apple selbst beziehen sollen. Auch sollen sie ihre Entwicklungen regelmässig selber auch auf ihre Zuverlässigkeit überprüfen.
Bekennerschreiben aufgetaucht
Auf dem chinesischen sozialen Netzwerk «Weibo» bekennt sich ein Nutzer als Autor von «XcodeGhost». Im angeblichen Bekennerschreiben entschuldigt sich dieser, dass seine Entwicklung für «Verwirrung» gesorgt hat. Es hätte sich bloss um ein Experiment gehandelt. Für das Tool habe er sich die Tatsache zu Nutze gemacht, dass Xcode Programm-Bestandteile lädt, ohne diese zu überprüfen. Laut dem scheinbaren XcodeGhost-Autor habe das Tool einzig Gerätetyp und -Namen, die Systemversion, die eingestellte Sprache und das Land, den Namen und die Version der Anwendung, deren Installationszeit, sowie die Identität des Entwicklers abgefangen. Vor zwei Wochen will er alle gesammelten Daten gelöscht haben. Weiter hätte sein Tool eine Möglichkeit zur Bewerbung seiner eigenen App enthalten, diese habe er aber nicht aktiviert.