[trust]

Hier geht es zur originalen News: Masque Attack: Neuer iOS-Virus ersetzt unbemerkt Apps im Blog

<p>Nur wenige Tage nachdem wir über den Virus <a title="Apple bezieht Stellung zu Malware “WireLurker”" href="https://iszene.com/news/iOS/apple-bezieht-stellung-zu-malware-wirelurker-4086/">"WireLurker" berichtet</a> haben, ersetzt ein neuer Virus unbemerkt Apps, die aus dem App Store geladen werden. Der von der Sicherheitsfirma FireEye entdeckte Virus, getauft "Masque Attack", sendet eine SMS an euch mit einem Link. Klickt ihr auf "Installieren", so installiert sich die Schadsoftware, die sich anders verhält als normal. Die ursprüngliche App wird vollkommen unbemerkt übernommen. Wieso unbemerkt? Der Virus nimmt die Gestalt der jeweiligen App an. Installiert der Nutzer beispielsweise eine App wie Gmail, so ersetzt der Virus das Gmail-AppIcon und sieht exakt aus wie das Original. Somit merkt der Nutzer nichts davon, dass seine Daten an diverse Server gesendet werden.</p>
<p>Der Server konnte von FireEye ab iOS 7.1.1 aufwärts reproduziert werden und ist sogar in der aktuellen iOS 8.1.1 Beta vorzufinden. Laut FireEye ist Apple bereits seit Anfang Juli informiert. Masque Attack verwendet einen Teil des bereits bekannten Virus WireLurker, indem es Enterprise-Zertifikate der Apps verwendet. Nutzer müssten also seit Freitag davor gewarnt werden.</p>
<p><strong>Video: So funktioniert MasqueAttack</strong></p>
<p>https://www.youtube.com/watch?v=pFffQOAbUnQ</p>
<p>[av_heading heading='So schützt ihr euch vor MasqueAttack' tag='h3' style='' size='' subheading_active='' subheading_size='15' padding='10' color='' custom_font=''][/av_heading]</p>
<p>Wer Apps, die ohne den AppStore installiert werden generell eher kritisch gegenüber steht, macht so ziemlich alles richtig. Dubiose Links in E-Mails, iMessage oder SMS von unbekannten Absendern sollten also weder beantwortet, noch angeklickt werden.</p>

[gado]

Sehe da jetzt kein Sicherheitsproblem. Bevor man Enterprise Apps installieren kann, wird man gefragt, ob man Entwickler "xy" wirklich vertraut, da dieser mit der App alles machen kann. Den genauen Wortlaut habe ich gerade nicht. Also man muss es abnicken und wird darauf hingewiesen, dass sich nun eine App installieren möchte, die alles darf. Natürlich gibt es genug Idioten, die einfach installieren drücken. Die installieren aber auch Viren auf Rechner und fallen auf Phishing Mails rein.

Man kann damit natürlich Apps ersetzen. So wie ich als Entwickler auch auf meinem Gerät mit einem normalen Dev Zertifikat Apps ersetzen kann. Das Enterprise Zertifikat gilt halt für alle Geräte.

Wie sollte man es denn anderes machen? Frage ich mal so. Ein Zusatzbutton in den Einstellungen verstecken, damit der DAU vor sich selbst geschützt wird, damit er das nicht überlesen kann?

[Falko]

Ganz so einfach wie es in der News dargestellt wird ist es in der Tat nicht, den normalen iOS-Nutzer kann man damit kaum gefährden. Man muss gewollt und selbstständig ein Zertifikat installieren. Und die jeweilige App auch auf dem Gerät haben und ausführen. Das Zertifikat ließe sich zudem aus der Ferne deaktivieren so dass diese meist schon funktionslos wären bevor die sich weit verbreiten könnten. Für User, welche sich absichtlich und unerlaubt WhatsApp-Betas oder andere gecrackte Apps aus dem Netz installieren aber auf jeden Fall nicht ungefährlich.

[Temgesic]

Hatte gelesen dass auch dieser "Virus" auf ein Zertifikat zurückgreift, welches von Apple mitterlweile gesperrt wurde im Zuge der Virus der vor ein paar Tagen die Runde machte. Ein installieren der infizierten Apps sollte also gar nicht mehr möglich sein - die WA Beta würde damit aus dem Kreis der Verdächtigen rausfallen und wäre kein Problem! Auf Videos sieht man auch, dass man zwar FlappyBird installieren will, aber auf dem Homescreen dann die GMail App samt Icon installiert wird. Bei der WA Beta wird man zur Installation von WA gefragt und WA wird installiert - keine andere App oder gar ersetzt. Gibt es Youtube Videos zu ..