| Privatpersonen 27. Dezember 2013


27. Dezember 2013

Update: Vorsicht vor unerwünschten Geschenken: Warum der neueste iPhone-Jailbreak ein Trojaner ist

By Lookout

Das unter dem Namen Evad3rs bekannte Team hat diese Woche eine neue Jailbreak-Version für iOS 7 veröffentlicht und damit für enormen Gesprächsstoff gesorgt. Wenn man bedenkt, dass die Entwicklung des letzten Jailbreaks fast 6 Monate* gedauert hat, was viele Möchtegern-Jailbreaker sehr frustrierend fanden, ist es nicht verwunderlich, dass dieses Vorweihnachtsgeschenk die Aufmerksamkeit auf sich zog.

Die aktuelle Jailbreak-Version von Evad3rs unterscheidet sich jedoch deutlich von ihren vorherigen Jailbreaks. Im Gegensatz zu den Vorgängern enthält Evasi0n für iOS 7 verborgenen Code eines chinesischen Drittanbieters. Der Code wurde stark verschleiert, um eine Erkennung und Manipulation zu verhindern.
Erfahren Sie hier, was wir über diesen Jailbreak bisher herausgefunden haben und warum wir ihn als Risiko einschätzen. evaders

Neben den bekannten Risiken, die ein Jailbreak mit sich bringt und die ich weiter unten näher beschreiben werde, glauben wir, dass die neueste Evasi0n-Version einen String enthält, der auch die größten Jailbreak-Fans zögern lassen sollte, sie zu installieren.

Evasi0n für iOS 7 wurde zusammen mit einer chinesischen Organisation entwickelt und enthält stark verschleierten chinesischen Code, der im Installer verborgen ist. Anders als vorherige Jailbreaks prüft der Code die Spracheinstellung des Macs oder PCs, auf dem er installiert ist. Wenn die Spracheinstellung Chinesisch ist, wird auf ausgewählten iPhones ein chinesischer Drittmarkt installiert ("Taiji"); auf anderen Geräten als den Zielhandys wird der App-Store "Cydia" installiert. Wenn Taiji installiert ist, verhindert er seine Deinstallation und deaktiviert andere gängige Jailbreak-Community-Sites wie Cydia.

Untitled drawing (1)

Da der Taiji-Market vollständig privilegierten Zugriff auf das Handy hat und der Sicherheitscontainer infolge des Jailbreaks außer Betrieb ist, ist es wichtig, zu verstehen, welche Gefahr diese Situation darstellen könnte. Der Betreiber dieses App-Stores könnte alles nur Erdenkliche mit dem betroffenen Gerät anstellen.

Basierend auf unserer Analyse stellen wir fest, dass Nutzer, die auf Dritt-Android-Märkte angewiesen sind, einem erhöhtem Risiko ausgesetzt sind, mit Malware oder gekaperten Apps in Berührung zu kommen. Unsere eigenen Daten zeigen, dass Lookout-Nutzer in den USA, die vorrangig den Play Store nutzen, mit einer viel geringeren Wahrscheinlichkeit auf Adware und Malware stoßen (1,5%). Für Android-Nutzer aus Russland, wo der Play Store nicht unterstützt wird, liegt die Wahrscheinlichkeit bei annähernd 42%.

Was ist ein Jailbreak und welche Auswirkungen hat er auf die Sicherheit meines Handys?

Was ist ein Jailbreak? Jailbreaking ist ein Prozess, der viel mehr bedeutet als nur eine Abkopplung von Apple. Wenn Sie einen Jailbreak auf Ihrem Handy vornehmen, laden Sie Software herunter, die eine Lücke bzw. Schwachstelle des Handysystems ausnutzt, um das Betriebssystem zu öffnen und das Gerät von Apple "loszulösen". Ein Handy, auf dem ein Jailbreak durchgeführt wurde, ist ein kompromittiertes Handy, das die Rechte und Berechtigungen an die Software überträgt, mit der der Jailbreak vorgenommen wurde. In manchen Fällen können es ausreichend hohe Rechte sein, die dem Jailbreak ermöglichen, alle für den Jailbreak-Prozess erforderlichen Änderungen vorzunehmen. Häufig wird jedoch eine zweite Schwachstelle verwendet, um grundlegende Zugriffsrechte in absolute Administrationsrechte zu wandeln. Man kann in diesem Fall von einer "Eskalation" der Berechtigungen sprechen.

Sobald der Jailbreak über eine Software-Schwachstelle einen Fuß in der Tür hat, öffnet er die Sandbox (Sicherheitscontainer des Handys), in der Anwendungen laufen. Zusätzlich wird noch jegliche Sicherheitssoftware deaktiviert, die den Jailbreak in Zukunft verhindern könnte, und nimmt dauerhafte Änderungen am Betriebssystem des Handys vor, um sicherzustellen, dass der Jailbreak nach dem Rebooten des Handys weiterhin bestehen bleibt.

Was ist an einem Jailbreak riskant? Ein Jailbreak bricht nicht nur die Verbindung zu Apple ab, er deaktiviert auch die Sicherheitsmaßnahmen, die über Jahre entwickelt wurden, um das Handy vor Angriffen zu schützen. Ohne Dinge wie die Anwendungs-Sandbox wird Ihr Handy jedesmal einem Risiko ausgesetzt, wenn eine Softwareschwachstelle ausgenutzt wird. Mit einer funktionsfähigen Sandbox beschränkt sich das Risiko auf einen bestimmten Container mit starken Barrieren - also Sandbox bzw. Jail. Wenn ein Jailbreak auf dem Handy durchgeführt wird, wird im übertragenen Sinne das Immunsystem des Handys gefährdet. Wir von Lookout empfehlen, dass nur diejenigen einen Jailbreak auf ihrem Gerät vornehmen sollten, die die Risiken und Gefahren wirklich einschätzen können. Darüber hinaus empfehlen wir aufgrund des vorliegenden und möglicherweise bösartigen chinesischen Codes, diesen speziellen Jailbreak mit extremer Vorsicht zu genießen.

Ein Jailbreak ist ein Angriff auf Ihr Handy, dem Sie zustimmen und von dem Sie sich gewisse Vorteile erhoffen, die der Jailbreak mit sich bringt. Der einzige Unterschied zwischen einem Jailbreak und einem bösartigen Angriff ist, dass Sie den Entwicklern vertrauen, keine zwielichtigen Handlungen durchzuführen.

Diese neue Art von finanziell unterstützten Jailbreaks entwickelt sich möglicherweise zu einem Trend. Gerade in Hinblick auf die finanzielle Vergütung für den Zugriff auf Millionen Apple-Nutzer gehen wir davon aus, in Zukunft einen wachsenden Markt für die Entwicklung von Jailbreak-Versionen zu beobachten. Der aktuelle Jailbreak könnte dieses Vertrauensverhältnis verändern. DieZeit wird zeigen in welcher Art und Weise.

Dieser Jailbreak stellt auch ein potenzielles Risiko für Unternehmen dar. Während die meisten Zeichen noch dafür sprechen, dass der chinesische Payload harmlos ist, sollte vom schlimmsten Fall ausgegangen werden, bis eine vollständige Analyse des stark verschleierten Codes verfügbar ist: Dieser Jailbreak ist nicht nur in der Lage, Daten von den Geräten zu kapern, auf denen er installiert ist, sondern kann sie auch per Fernzugriff steuern. Darüber hinaus sollte bekannt sein, dass auch die "sichersten" Jailbreaks das Gerätemanagement und die Durchsetzung von Richtlinien auf veränderten Handys untergraben.

Wie Sie sich schützen können:

  • Führen Sie nur einen Jailbreak auf Ihrem Handy durch, wenn Sie wirklich ALLE Sicherheitsrisiken kennen, die mit dem Jailbreak zusammenhängen.
  • Installieren Sie nur Apps von vertrauenswürdigen Stores.
  • Schützen Sie sich vor Drive-by-Downloads oder abgelegten Apps:
    • Auf Android-Geräten sollte die Systemeinstellung 'Unbekannte Quellen' deaktiviert sein.
    • iOS-Geräte verhindern automatisch unbekannte Quellen und schützen vor Drive-by-Downloads, solange Sie keinen Jailbreak auf Ihrem Handy vornehmen.
  • Laden Sie eine Sicherheits-App wie Lookout herunter, die vor Malware schützt und eine erste Gefahrenabwehr ist
Update: Das Evad3rs-Team hat eine öffentliche Stellungnahme gemacht, die Sie hier lesen können.
In der Stellungnahme werden mehrere bedenkliche Punkte erläutert und es wird betont, dass chinesische Nutzer deutlich darauf hingewiesen werden, auf was sie sich einlassen, wenn sie den Jailbreak installieren. Das Team betont weiterhin, dass es keine Ahnung von gekaperter Software im Taiji-Market hatte und umgehend diese Anschuldigungen überprüfen wird.
Hinsichtlich der starken Verschleierung des Codes und der Tatsache, dass der Market zum Schutze der Nutzer die Installation zu verhindern versucht, wird den Nutzern versichert, dass sie Taiji entfernen können, sobald Cydia installiert ist. Vermutlich funktioniert Cydia nach der Deinstallation von Taiji normal. Die Codeverschleierung dient ausschließlich dazu, eine Manipulation durch Dritte zu verhindern, die den Jailbreak für ihre eigenen zwielichtigen Zwecke missbrauchen könnten.
Letztendlich ist es nach wie vor eine Vertrauenssache und läuft es darauf hinaus, dass die Nutzer Evad3rs glaub
* Wir haben diese aktualisiert, statt zu sagen "fast 6 Monate" "fast ein Jahr."

Autor

Lookout