Schwerwiegendes Leck in Apples App Store ließ Malware verteilen

Apple, App Store, Mac App Store Bildquelle: Apple
Apple hat mit einem Sicherheitsproblem im App Store und im iTunes Store zu kämpfen, das es Entwicklern ermöglicht, Schadcode über die Rechnungen der Stores einzuschleusen. Derzeit gibt es jedoch unterschiedliche Berichte, ob das Problem akut ist oder nicht.
Wie einige US-Medien melden, können sowohl Apples iTunes Store als auch der App Store für eine perfide Verteilung von Schadsoftware ausgenutzt werden. Das Problem hat mit der internen Rechnungserstellung für den Store zu tun. Dabei können Angreifer - die auch einen registrierten Account bei Apple als Entwickler besitzen müssen - über das Einfügen von Code in den Rechnungen beliebige Malware über einen Frame mit ausliefern. Das Ganze betrifft Käufer von Apps, Filmen, Musik, und so weiter, auf allen Betriebssystemen.

Skripte statt Artikelnamen

Das gelingt, da die Store-Verwaltung die Felder für die Rechnungen nicht korrekt überprüft. In dem Feld für den Namen eines gekauften Artikels kann so einfach ein anderer Code eingetragen werden, auch andere Namensfelder sind betroffen. Anschließend erstellt Apple aus den Vorgaben Rechnungen für den Kunden und für den Entwickler. In beiden können sich dann manipulierte Daten befinden, die laut dem Entdecker der Schwachstelle, dem Sicherheitsforscher Benjamin Kunz Mejri, auch dazu ausgenutzt werden können, um Browsersitzungen zu übernehmen oder andere Skripte auszuführen.

Zweite Möglichkeit: Phishing

Die Sicherheitslücke wurde daher als kritisch eingestuft. Problematisch ist das allerdings bei den wenigsten Email-Programmen, da die Codes in den Rechnungen von den meisten Email-Programmen erkannt und als Skript nicht ausgeführt werden. Es besteht aber die Möglichkeit. Zudem könnten Angreifer die Schwachstelle im Abrechnungssystem von Apple auch dazu verwenden, beliebige Rechnungen an registrierte Apple-Nutzer zu schicken. Über Phishing hätten die Angreifer dann eine zweite Zugriffsmöglichkeit auf die Systeme der Nutzer.

Inhalte ausgetauscht

Wer also auf Nummer sicher gehen möchte, sollte Emails mit Betreff Rechnung von Apple vorerst nicht öffnen, wenn sie aktuell nichts eingekauft haben, auch wenn der Absender vermeintlich wirklich Apple ist - der Inhalt kommt vielleicht von einem Dritten. Ob diese Szenarien auch ausgenutzt wurden, ist nicht bestätigt.

Der Sicherheitsforscher Benjamin Kunz Mejri, der die Sicherheitslücke entdeckt hat, hatte die Schwachstelle bereits Anfang Juni gefunden, dokumentiert und an Apple übermittelt. Berichten zufolge soll Apple die Sicherheitslücke bereits über ein internes Server-Update wieder gefixt haben. Das ist auch recht wahrscheinlich, was die "Bug-Melde-Ethik" betrifft, denn ansonsten hätte Benjamin Kunz Mejri die Schwachstelle noch nicht veröffentlicht. Andere Meldungen sprechen hingegen noch von einem offenen Leck. Apple, App Store, Mac App Store Apple, App Store, Mac App Store Apple
Mehr zum Thema: Apple iOS
Diese Nachricht empfehlen
Kommentieren7
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 06:05 Uhr Drahtlose Wifi HDMI Display-Dongle-Adapter, GGMM V-linker HDMI Streaming Media Player WLAN Dongle Empfänger 1080P Anzeige Support-Spiegel-Funktion für TV und iOS und Android Geräte (5G)
Drahtlose Wifi HDMI Display-Dongle-Adapter, GGMM V-linker HDMI Streaming Media Player WLAN Dongle Empfänger 1080P Anzeige Support-Spiegel-Funktion für TV und iOS und Android Geräte (5G)
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
30,99
Ersparnis zu Amazon 23% oder 9
Nur bei Amazon erhältlich

iPhone 7 im Preisvergleich

Tipp einsenden