[Xenia]

Ich frage mich, wieso CamScanner noch im App Store ist, wenn Apple doch alle betroffenen Apps aus dem Store genommen haben will.
Anstatt sich die Listen betroffener Apps irgendwo anschauen zu müssen (wobei ich mich frage, woher die diversen Quellen wissen wollen, welche Apps betroffen sind), würde ich schon erwarten, dass es von Apple als Betreiber des Stores eine offene Kommunikation darüber gibt, welche Apps genau betroffen sind, was genau diese Apps anrichten und was man als betroffener Anwender tun sollte!

[bandit1976]

Apple hat keine Meldung abgegeben, welche Apps betroffen waren/sind. Ich gehe davon aus, dass Apple alle betroffenen Apps bereits aus dem Verkehr gezogen hat. Woher irgendwelche Quellen diese Listen/Appnamen haben ist mir mehr als schleierhaft.

[Denner]

@Xenia Das Problem ist Apple und Apple hat die Entwickler gebeten eine fehlerfreie Version zu liefern. Alle Versionen die jetzt im Store sind sind sauber alle die, die nicht mehr downloadbar sind, haben noch keine saubere Version geliefert.

[Xenia]

@Denner
Gab es denn von CamScanner in den letzten Tagen ein Update? Ich meine nicht, habe die App aber schon gelöscht. Dann wäre die App entweder nicht betroffen gewesen, oder noch nicht "sauber".
Und selbst wenn alle Apps wirklich entfernt/aktualisiert wurden, ist es trotzdem ein No Go, die Kunden nicht umfassend zu informieren.
Die Apple-Politik des "wir regeln das, mehr braucht der Kunde nicht zu wissen", ist einfach ärgerlich.

[Falko]

Es werden in den Listen viele Apps genannt die diesen Bug schon seit einigen Versionen nicht mehr haben. WeChat ist das prominenteste Beispiel. Apple ist wohl schon länger dabei diese Programme auszusortieren, deshalb sollten inzwischen kaum noch Betroffene Apps zu finden sein. Das was auf den diversen Listen steht ist überwiegend veraltet.

[deluxestyle]

Warum wird aber sowas nicht früher veröffentlicht? Ich hatte den Mercury Browser regelmäßig benutzt. Auch meine Passwörter dort bei Seiten eingegeben.
Vorsichtshalber habe ich gestern nun alle Passwörter geändert.

[Falko]

Keine Angst, die betroffenen Apps konnten nichts anderes als alle anderen App Store Programme auch können. Es wurden lediglich diese Daten übermittelt:

-die aktuelle Zeit
-den Namen der betroffenen App
-die sogenannte Bundle ID, eine Kennzahl, mit der Apple Apps identifiziert
-Gerätename und -typ
-eingestelltes Land, eingestellte Systemsprache
- bei Geräten die noch auf einem älteren als iOS 7 waren: die Gerätekennung, die sogenannte UDID
-die Art des genutzten Netzes

Also nichts, was nicht sowieso jeder Entwickler von euch erhält. Apples Sandbox-System erlaubt auch gar nichts anderes. Spekuliert wurde dass die betroffenen Apps einen Push senden und iCloud-Daten abfragen könnten, dafür gibt es in der Praxis aber noch keinerlei Belege. Nach bisherigem Stand wird da also nur etwas aufgepusht was eher ein Skandälchen als ein Skandal ist.

[deluxestyle]

@Falko So einfach ist es nicht.
Wenn ich wie den Mercury Browser zum Surfen verwende, um mich bei Webseiten anzumelden, dann kann die Schadsoftware diese Daten auslesen und weiterleiten. Ist ja alles in der selben Sandbox.

[Denner]

@Xenia Bin mir nicht siher, Falko meinte ja, es wären nicht die Chinesischen Ausgaben betroffen.

Wahrscheinlich gibt es die CamScanner auf in Mandarin oder so und vielleicht gibt es dazu eine spezielle App Version für den China Markt?

Dann würde ich auch drauf verzichten die Deutschen User unnötig verrückt zu machen.

[Falko]

@deluxestyle Dann könnte das auch jede andere App in der es LogIn-Daten gibt. Sprich, Dein Mercury Browser kann auch jetzt schon Deine Daten auslesen und speichern. Kann er aber nicht. Die Sicherheitsstruktur der Apps ist nicht betroffen, die können also nur dasselbe was sie auch ohne die Manipulation können.

[access]

Festzuhalten bleibt, dass die Informationspolitik von Apple mal wieder völlig daneben ist. Die User wissen nicht welche Apps betroffen sind, Qihoo 360 listet 344 Apps die Pangu Leute gar 3418. Nur ein Hackerteam bietet eine App an die das prüft, sowas wäre eigentlich die Aufgabe von Apple.
So bleiben User weiterhin Man in the Middle Attaks ausgelliefert, denn sie wissen nicht ob nicht doch eine App infiziert ist.

[Xenia]

Die Diskussion und Wiedergabe verschiedener Quellen in allen Ehren - aber die Mutmaßung, es wären Hunderte Apps und Millionen Nutzer betroffen, ist ebenso spekulativ wie die Mutmaßung, die betroffenen Apps würden vorwiegend den chinesischen Markt betreffen und schon seit mehreren Wochen "gesäubert" und haben keinerlei Nutzerdaten abgegriffen.

Was - wie immer - fehlt, ist eine offene und klare Kommunikation von Apple.

[Falko]

Was man an Daten "abgreifen" konnte ist nicht spekulativ, das ist bekannt und oben aufgezählt. Apps können ja bei Apple zum Glück nicht viel und vor allem auf keine fremden Daten zugreifen, daher können auch nur die Daten abgegriffen werden die halt sowieso jeder Entwickler bekommt dessen App man installiert hat. Im Grunde wurde bei der Manipulation wohl nichts weiter gemacht als die Emailadresse (oder wie auch immer der jeweilige Entwickler diese Daten abrufen möchte) des Entwicklers durch die der "Hacker" zu ersetzen. Dass die Apps bereits seit längerem gesäubert werden hatten die Entwickler vom schon recht lange sauberen WeChat mitgeteilt, das sollte also ebenfalls nicht mehr spekulativ sein. An der Kommunikation kann man sicher arbeiten, aber an dieser Stelle sicher auch Apple durch jeden anderen Hersteller ersetzen.

[access]

Es ist über eine Man in the middle Attake möglich Meldungen und Abfragen zu bringen, fas kann auch eine gefakte Passwort Abfrage für iTunes oder sonstwas sein.

Ich verstehe echt nicht wie man das so verharmlosen kann, arbeitet hier jemand bei Apple oder wie? Sonst leuchtet mir das mal gar nicht ein.

[Falko]

Das hatte ich oben doch selbst geschrieben. Aber eben auch dass es keinerlei Anhaltspunkte gab und gibt dass diese Apps das konnten. Dafür wäre noch wesentlich mehr Manipulation nötig gewesen wäre als lediglich die Mailadresse des Entwicklers zu ändern, und das ist offenbarnicht erfolgt. Und wenn das unmanipulierte App Store-Programme nicht können dann konnten das die Apps mit Adressumleitung ebensowenig. Oder man geht eben davon aus dass genau so bei jeder nicht manipulierten App diese Gefahr besteht.

[access]

Dann lies nochmals meinen Link, vielleicht wird es dann klarer. Die Software schreibt nicht nur sie hört auch auf Befehle.

[Xenia]

@access
Danke für den Link. Ich kenne Palo Alto berufsbedingt - diese Quelle ist also sicher keine zwielichtige Bude und noch weniger die Bildzeitung, sondern ein absolut seriöses Unternehmen im Bereich IT Security.

[D.P.Gumby]

Soeben ist eine Mail von Apple an die Developer eingetroffen mit Anweisungen seine Version von Xcode zu überprüfen. 

[Falko]

Da steht doch dasselbe was ich auch schon sagte, es bestünde die theoretische (also potentielle) Möglichkeit soetwas einzubauen, aber doch nicht dass eine der betroffenen Apps eine solche Lücke eingebaut hatte. Oder habe ich das beim überfliegen überlesen?

[Xenia]

Hi Falko,
In dieser konkreten Malware hätte man laut der Analysen von Palo Alto problemlos ein Kommando einbauen können, das sämtliche Passwörter ausliest. In den Versionen, die Palo Alto vorliegen, war das aber tatsächlich nicht der Fall.
Allerdings haben die betroffenen Apps eine http Vulnerability, also eine Schwachstelle, mit der man den von diesen Apps ausgehenden Webverkehr "mithören" oder ggf auch umleiten könnte. Und so könnte man auch an Passwörter gelangen, die man z.B. in einem betroffenen Browser eingibt (Stichwort Mercury-Browser) - so zumindest mein Verständnis.

Sehr interessant ist auch, dass die Malware mitsamt infiziertem Amazon-Server schon seit März im Umlauf ist.
Ebenso die zeitliche Nähe des Auftauchens der Malware mit der erwähnten Konferenz.
Falls tatsächlich kein größerer Schaden angerichtet wurde, könnte man glatt auf die Idee kommen, es ging um einen proof of concept. Aber ich will nicht auch noch spekulieren.

Laut Palo Alto liegt die Anzahl der betroffenen Apps und User aber eben doch weit höher.

Ich frage die Tage mal unsere Virenanalysten, die haben die Malware bestimmt auch schon inspiziert.