Skip to content

Apple-Chefs diskutierten über die Offenlegung von 128 Millionen iPhone-Hacks, entschieden sich dann aber dagegen

Getty Images

Im September 2015 standen Apple-Manager vor einem Dilemma: Sollten sie 128 Millionen iPhone-Nutzer über die nach wie vor schlimmste Massen-iOS-Kompromittierung aller Zeiten informieren oder nicht? Letztendlich, so zeigen alle Beweise, entschieden sie sich zu schweigen.

Der Massen-Hack kam zum ersten Mal ans Licht, als Forscher 40 bösartige App Store-Apps entdeckten, eine Zahl, die auf 4.000 explodierte, als weitere Forscher herumstöberten. Die Apps enthielten Code, der iPhones und iPads zu einem Teil eines Botnetzes machte, das potenziell vertrauliche Benutzerinformationen stahl.

128 Millionen infiziert

Eine E-Mail, die diese Woche im Gerichtsverfahren von Epic Games gegen Apple eingereicht wurde, zeigt, dass Apple-Manager am Nachmittag des 21. September 2015 2.500 bösartige Apps aufgedeckt hatten, die insgesamt 203 Millionen Mal von 128 Millionen Benutzern, 18 Millionen, heruntergeladen worden waren davon waren in den USA.

„Joz, Tom und Christine – wollen wir angesichts der großen Anzahl potenziell betroffener Kunden allen eine E-Mail schicken?“ App Store VP Matthew Fischer schrieb und bezog sich dabei auf Apple Senior Vice President of Worldwide Marketing Greg Joswiak und die Apple PR-Leute Tom Neumayr und Christine Monaghan. Die E-Mail fuhr fort:

Wenn ja, wird Dale Bagwell von unserem Customer Experience-Team zur Stelle sein, um dies auf unserer Seite zu regeln. Beachten Sie, dass dies einige Herausforderungen in Bezug auf die Sprachlokalisierung der E-Mail mit sich bringen wird, da die Downloads dieser Apps in einer Vielzahl von App Store-Storefronts auf der ganzen Welt stattfanden (z. B. möchten wir keine englischsprachige E-Mail an senden ein Kunde, der eine oder mehrere dieser Apps aus dem brasilianischen App Store heruntergeladen hat, wo brasilianisches Portugiesisch die geeignetere Sprache wäre).

Der Hund hat unsere Offenlegung gefressen

Etwa 10 Stunden später bespricht Bagwell die Logistik der Benachrichtigung aller 128 Millionen betroffenen Benutzer, der Lokalisierung von Benachrichtigungen in die Sprache jedes Benutzers und der „genauen Einbeziehung[ing] die Namen der Apps für jeden Kunden.“

Leider sieht es so aus, als hätte Apple seine Pläne nie umgesetzt. Ein Apple-Vertreter konnte keine Beweise dafür vorweisen, dass eine solche E-Mail jemals gesendet wurde. Aussagen, die der Vertreter im Hintergrund gesendet hat – was bedeutet, dass ich sie nicht zitieren darf – stellten fest, dass Apple stattdessen nur diesen jetzt gelöschten Beitrag veröffentlicht hat.

Der Beitrag enthält sehr allgemeine Informationen über die bösartige App-Kampagne und listet schließlich nur die 25 am häufigsten heruntergeladenen Apps auf. „Wenn Benutzer eine dieser Apps haben, sollten sie die betroffene App aktualisieren, um das Problem auf dem Gerät des Benutzers zu beheben“, heißt es in dem Beitrag. „Wenn die App auf verfügbar ist [the] App Store, es wurde aktualisiert, wenn es nicht verfügbar ist, sollte es sehr bald aktualisiert werden.“

Geist von Xcode

Die Infektionen waren das Ergebnis legitimer Entwickler, die Apps mit einer gefälschten Kopie von Xcode, Apples iOS- und OS X-App-Entwicklungstool, geschrieben haben. Das neu verpackte Tool mit dem Namen XcodeGhost fügte neben normalen App-Funktionen heimlich bösartigen Code ein.

Von dort veranlassten Apps iPhones, sich an einen Command-and-Control-Server zu melden und eine Vielzahl von Geräteinformationen bereitzustellen, darunter den Namen der infizierten App, die App-Bundle-ID, Netzwerkinformationen, die „IdentifierForVendor“-Details des Geräts und die Gerätename, Typ und eindeutige Kennung.

XcodeGhost soll in China schneller heruntergeladen werden können als Xcode, das von Apple erhältlich ist. Damit Entwickler die gefälschte Version ausführen konnten, mussten sie sich durch eine Warnung von Gatekeeper klicken, der macOS-Sicherheitsfunktion, die erfordert, dass Apps von einem bekannten Entwickler digital signiert werden.

Enttäuschend ist der Mangel an Follow-Through. Apple hat der Sicherheit der verkauften Geräte lange Priorität eingeräumt. Es hat auch den Datenschutz zu einem Kernstück seiner Produkte gemacht. Eine direkte Benachrichtigung der Betroffenen von diesem Versehen wäre richtig gewesen. Wir wussten bereits, dass Google Benutzer routinemäßig nicht benachrichtigt, wenn sie schädliche Android-Apps oder Chrome-Erweiterungen herunterladen. Jetzt wissen wir, dass Apple dasselbe getan hat.

Dr. Jekyll stoppen

Die E-Mail war nicht die einzige, die zeigte, wie Apple Sicherheitsprobleme herausarbeitete. Ein separates Exemplar, das 2013 an Apple Fellow Phil Schiller und andere gesendet wurde, leitete eine Kopie des Ars-Artikels mit der Überschrift „Scheinbar gutartige ‚Jekyll‘-App besteht Apple-Prüfung und wird dann ‚böse‘“ weiter.

Der Artikel diskutierte Forschungen von Informatikern, die einen Weg gefunden haben, bösartige Programme in den App Store zu schleichen, ohne von dem obligatorischen Überprüfungsprozess entdeckt zu werden, der solche Apps automatisch kennzeichnen soll. Schiller und die anderen Personen, die die E-Mail erhielten, wollten herausfinden, wie sie ihren Schutz angesichts ihrer Entdeckung, dass der von Apple verwendete statische Analysator gegen die neu entdeckte Methode nicht wirksam war, stützen könnten.

„Dieser statische Analysator betrachtet API-Namen und nicht echte APIs, die aufgerufen werden, daher gibt es oft das Problem falsch positiver Ergebnisse“, schrieb Eddy Cue, Senior Vice President of Internet Software and Services von Apple. „Der Static Analyzer ermöglicht es uns, den direkten Zugriff auf private APIs zu erfassen, vermisst jedoch vollständig Apps, die indirekte Methoden für den Zugriff auf diese privaten APIs verwenden. Das haben die Autoren in ihren Jekyll-Apps verwendet.“

In der E-Mail wurden die Einschränkungen von zwei anderen Apple-Abwehrmaßnahmen erörtert, von denen eine als Privacy Proxy und die andere als Backdoor Switch bekannt ist.

„Wir brauchen etwas Hilfe, um andere Teams davon zu überzeugen, diese Funktionalität für uns zu implementieren“, schrieb Cue. “Bis dahin ist es mehr rohe Gewalt und etwas ineffektiv.”

Gerichtsverfahren, an denen große Unternehmen beteiligt sind, bieten oft nie zuvor gesehene Portale in die inneren Abläufe der Arbeitsweise von ihnen und ihren Führungskräften. Oft, wie hier der Fall, stehen diese Ansichten im Widerspruch zu den Gesprächsthemen der Unternehmen. Der Prozess wird nächste Woche fortgesetzt.

Leave a Reply

Your email address will not be published.