Sidestepper hebelt Sicherheitsmechanismen in iOS 9 aus

iphone-388387_1920

Unternehmen haben die Möglichkeit, eigene App-Stores zu verwenden, um ihre Mitarbeiter mit angepassten Apps zu versorgen. Dieses System, bei dem nicht der offizielle App-Store von Apple verwendet wird, soll eine gefĂ€hrliche SicherheitslĂŒcke enthalten. Apple und Sicherheitsexperten dementieren jedoch.

Normalerweise verhindern die Sicherheitsmechanismen von Apple, dass ein Angreifer schĂ€dliche Apps auf fremden iPhones einschleusen kann. Jede Anwendung, die in den offiziellen App-Store von Apple hochgeladen wird, wird auf SicherheitslĂŒcken und Gefahren geprĂŒft und erst danach freigegeben. FĂŒr Unternehmen hat Apple außerdem alternative Lösungen vorgesehen, um interne Apps, die nicht fĂŒr die Allgemeinheit gedacht sind, per Mobile Device Management (MDM) auf den GerĂ€ten der Mitarbeiter zu installieren. In diesem System wurde nun eine möglicherweise gravierende SicherheitslĂŒcke gefunden, die von dem Sicherheitsanbieter Check Point den Namen „Sidestepper“ erhalten hat. Aber was hat es damit wirklich auf sich?

Sidestepper soll es einem Angreifer erlauben, die Sicherheitsmechanismen von Apple zu umgehen und beliebige Apps auf in Unternehmen genutzten Smartphones zu installieren. Wie Check Point herausgefunden hat, ist es möglich, einem Anwender eine manipulierte MDM-Konfiguration per E-Mail, Phishing-SMS oder iMessage-Nachricht auf sein iPhone zu schicken. FĂ€llt der Anwender darauf herein und installiert die MDM-Konfiguration auf seinem GerĂ€t, dann kann der Angreifer beliebige Apps auf dem betroffenen Smartphone einschleusen, Dateien und Dokumente klauen, heimlich Screenshots anfertigen und beliebige Eingaben mitschneiden. Außerdem kann er den Datenverkehr auf dem GerĂ€t ĂŒberwachen und ausspionieren, warnt Check Point. Genauso wie einem klassischen Man-in-the-Middle-Angriff (MITM), bei dem sich ein Angreifer heimlich in fremde Kommunikation einklinkt und diese belauscht oder sogar verĂ€ndert.

Laut Check Point können die installierten Apps dann auch weitere Sicherheitsfunktionen aushebeln und zum Beispiel das Smartphone rooten und auf Mikrofon sowie Kamera zugreifen. Selbst ein Ausbruch aus der abgeschotteten App-Sandbox sei möglich, schreibt der Sicherheitsanbieter in einem Whitepaper, das nach einer kurzen Registrierung kostenlos heruntergeladen werden kann.

Sidestepper setzt allerdings voraus, dass der Benutzer einige Fehler macht: ZunĂ€chst muss er auf den Link in der Phishing-Nachricht klicken. Dann muss er die Warnhinweise missachten, wenn die manipulierte MDM-Konfiguration installiert wird. Versucht eine eingeschleuste und nur mit einem Entwickler-Zertifikat versehene App außerdem noch, sich Root-Rechte zu verschaffen oder aus der App-Sandbox auszubrechen, blendet iOS weitere Hinweise ein, die den Anwender eigentlich misstrauisch machen sollten. Apple hat sich deswegen auf den Standpunkt gestellt, dass es sich bei Sidestepper um keine echte SicherheitslĂŒcke handelt. Das bislang verwendete Verfahren sei sicher und mĂŒsse nicht angepasst werden. iOS vertraue diesen Befehlen, weil der Anwender sie selbst freigegeben hat. Privatanwender sind ebenfalls nicht von Sidestepper betroffen, weil sie ihre Apps direkt aus dem App-Store von Apple beziehen und ihre Smartphones keine separaten MDM-Konfigurationen unterstĂŒtzen.

Auch der Sicherheitsexperte Mark Zimmermann hĂ€lt die Aufregung um Sidestepper in einem Artikel fĂŒr die Computerwoche fĂŒr Panikmache und weist darauf hin, dass es sich bei dem von Sidestepper ausgenutzten Mechanismus um eine iOS-Funktion handele, die durch eine Benutzerabfrage geschĂŒtzt sei. Das Problem liegt seiner Ansicht nach also weniger bei Apple als bei den Anwendern, die zu vertrauensselig seien und Hinweise immer hĂ€ufiger einfach ignorierten. Weitere Warneinblendungen hĂ€lt er daher fĂŒr wenig sinnvoll, weil sie von vielen Nutzern nicht mehr wahrgenommen werden wĂŒrden. Sein Rat an Firmen und Anwender lautet stattdessen: „Informieren Sie sich, bleiben Sie kritisch und behalten Sie einen klaren Kopf.“

Neben Anwenderschulungen sind auch moderne Sicherheitstechnologien wie etwa die Zwei-Faktor-Authentifizierung sehr gut geeignet, um wertvolle Unternehmensdaten vor Angreifern zu schĂŒtzen. Hardware-Token wie CosmoKey integrieren sich in bereits bestehende Datenschutzrichtlinien und speichern keine personenbezogenen Daten. Administratoren behalten dabei jederzeit die volle Kontrolle ĂŒber GerĂ€te, Daten und Integration.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

ï»ż