Sidestepper hebelt Sicherheitsmechanismen in iOS 9 aus

Unternehmen haben die Möglichkeit, eigene App-Stores zu verwenden, um ihre Mitarbeiter mit angepassten Apps zu versorgen. Dieses System, bei dem nicht der offizielle App-Store von Apple verwendet wird, soll eine gefährliche Sicherheitslücke enthalten. Apple und Sicherheitsexperten dementieren jedoch.

Normalerweise verhindern die Sicherheitsmechanismen von Apple, dass ein Angreifer schädliche Apps auf fremden iPhones einschleusen kann. Jede Anwendung, die in den offiziellen App-Store von Apple hochgeladen wird, wird auf Sicherheitslücken und Gefahren geprüft und erst danach freigegeben. Für Unternehmen hat Apple außerdem alternative Lösungen vorgesehen, um interne Apps, die nicht für die Allgemeinheit gedacht sind, per Mobile Device Management (MDM) auf den Geräten der Mitarbeiter zu installieren. In diesem System wurde nun eine möglicherweise gravierende Sicherheitslücke gefunden, die von dem Sicherheitsanbieter Check Point den Namen „Sidestepper“ erhalten hat. Aber was hat es damit wirklich auf sich?

Sidestepper soll es einem Angreifer erlauben, die Sicherheitsmechanismen von Apple zu umgehen und beliebige Apps auf in Unternehmen genutzten Smartphones zu installieren. Wie Check Point herausgefunden hat, ist es möglich, einem Anwender eine manipulierte MDM-Konfiguration per E-Mail, Phishing-SMS oder iMessage-Nachricht auf sein iPhone zu schicken. Fällt der Anwender darauf herein und installiert die MDM-Konfiguration auf seinem Gerät, dann kann der Angreifer beliebige Apps auf dem betroffenen Smartphone einschleusen, Dateien und Dokumente klauen, heimlich Screenshots anfertigen und beliebige Eingaben mitschneiden. Außerdem kann er den Datenverkehr auf dem Gerät überwachen und ausspionieren, warnt Check Point. Genauso wie einem klassischen Man-in-the-Middle-Angriff (MITM), bei dem sich ein Angreifer heimlich in fremde Kommunikation einklinkt und diese belauscht oder sogar verändert.

Laut Check Point können die installierten Apps dann auch weitere Sicherheitsfunktionen aushebeln und zum Beispiel das Smartphone rooten und auf Mikrofon sowie Kamera zugreifen. Selbst ein Ausbruch aus der abgeschotteten App-Sandbox sei möglich, schreibt der Sicherheitsanbieter in einem Whitepaper, das nach einer kurzen Registrierung kostenlos heruntergeladen werden kann.

Sidestepper setzt allerdings voraus, dass der Benutzer einige Fehler macht: Zunächst muss er auf den Link in der Phishing-Nachricht klicken. Dann muss er die Warnhinweise missachten, wenn die manipulierte MDM-Konfiguration installiert wird. Versucht eine eingeschleuste und nur mit einem Entwickler-Zertifikat versehene App außerdem noch, sich Root-Rechte zu verschaffen oder aus der App-Sandbox auszubrechen, blendet iOS weitere Hinweise ein, die den Anwender eigentlich misstrauisch machen sollten. Apple hat sich deswegen auf den Standpunkt gestellt, dass es sich bei Sidestepper um keine echte Sicherheitslücke handelt. Das bislang verwendete Verfahren sei sicher und müsse nicht angepasst werden. iOS vertraue diesen Befehlen, weil der Anwender sie selbst freigegeben hat. Privatanwender sind ebenfalls nicht von Sidestepper betroffen, weil sie ihre Apps direkt aus dem App-Store von Apple beziehen und ihre Smartphones keine separaten MDM-Konfigurationen unterstützen.

Auch der Sicherheitsexperte Mark Zimmermann hält die Aufregung um Sidestepper in einem Artikel für die Computerwoche für Panikmache und weist darauf hin, dass es sich bei dem von Sidestepper ausgenutzten Mechanismus um eine iOS-Funktion handele, die durch eine Benutzerabfrage geschützt sei. Das Problem liegt seiner Ansicht nach also weniger bei Apple als bei den Anwendern, die zu vertrauensselig seien und Hinweise immer häufiger einfach ignorierten. Weitere Warneinblendungen hält er daher für wenig sinnvoll, weil sie von vielen Nutzern nicht mehr wahrgenommen werden würden. Sein Rat an Firmen und Anwender lautet stattdessen: „Informieren Sie sich, bleiben Sie kritisch und behalten Sie einen klaren Kopf.“

Neben Anwenderschulungen sind auch moderne Sicherheitstechnologien wie etwa die Zwei-Faktor-Authentifizierung sehr gut geeignet, um wertvolle Unternehmensdaten vor Angreifern zu schützen. Hardware-Token wie CosmoKey integrieren sich in bereits bestehende Datenschutzrichtlinien und speichern keine personenbezogenen Daten. Administratoren behalten dabei jederzeit die volle Kontrolle über Geräte, Daten und Integration.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>