Neue Betrugsmasche via TestFlight: Wieder schadhafte Apps im Umlauf

Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

Diese Meldung dürfte neues Feuer in der Debatte entfachen, die für Apple gerade von zentraler Bedeutung ist: Konkret geht es darum, dass Apple auf dem Standpunkt beharrt, dass die Sicherheit des iPhone gefährdet ist, wenn man die Installation von Apps außerhalb des App Store ermöglichen sollte. Aktuell ist das nur zu Testzwecken für eine App im Beta-Stadium über TestFlight möglich. Genau das machen sich gerade Kriminelle zunutze.

Schadhafte Apps werden aktuell über TestFlight verteilt

TestFlight dient für Entwickler dazu, Ihre Apps im Betastadium an Nutzer anzubieten, damit diese getestet und auf eventuell Fehlfunktionen bzw. Schwachstellen abgeklopft werden können, bevor sie offiziell in den iOS App Store gehen. Entwickler können so die bis zu 10.000 Benutzer einladen. Betrüger haben die Plattform jedoch genutzt, um bösartige Apps ohne Apples Wissen zu verbreiten. Wie das bekannte Sicherheitsunternehmen Sophos (über ArsTechnica) berichtet, hat eine Kampagne des organisierten Verbrechens namens „CryptoRom“ gefälschte Kryptowährungs-Apps an iOS- und Android-Benutzer verteilt.

Eigentlich ist iOS sehr restriktiv, doch bei TestFlight eingereichte Apps müssen nicht den üblichen Überprüfungsprozess durchlaufen – sie werden ja nicht offiziell in den App Store eingestellt. Genau diese Schwachstelle haben Kriminelle ausgenutzt und bösartige Apps an iPhone- und iPad-Besitzer verteilt. Der Prozess der Installation einer App über TestFlight ist nicht nur ziemlich einfach, er nutzt schlicht auch die Ahnungslosigkeit seiner Opfer aus. Die Betrüger müssen nicht einmal die E-Mail-Adresse zum Versenden des Links nutzen, sie können ganz einfach einen Downloadlink auf einer Webseite platzieren.

„Einige der Opfer, die uns kontaktierten, berichteten, dass sie angewiesen worden waren, die scheinbar BTCBOX zu installieren, eine App für eine japanische Kryptowährungsbörse“, schrieb Jagadeesh Chandraiah, ein Malware-Analyst bei der Sicherheitsfirma Sophos. „Wir haben auch gefälschte Websites gefunden, die sich als Kryptowährungs-Mining-Unternehmen BitFury ausgeben, das gefälschte Apps über TestFlight verkauft. Wir suchen weiterhin nach anderen CryptoRom-Apps mit dem gleichen Ansatz“.

Auszug aus dem Bericht

Apple hat deshalb einfach gar keine Ahnung oder Kenntnis davon, welche Bedrohungen von den Apps ausgehen. Interessant ist auch eine Randnotiz des Sicherheitsunternehmens im Bezug auf Google, was das Sideloading betrifft

Sideloading bei Google macht es einfach

Konkret verwiesen die Sicherheitsforscher darauf, dass derartige Angriffe im Play Store noch einfacher sein. Grund ist das sogenannte Sideloading, was seit Beginn des Play Store bzw. Android Teil der DNS des Betriebssystems von Google ist.

Halbherzige Tipps von Apple

Fairerweise muss man aber auch festhalten, dass derartige Angriffe nicht nur über die TestFlight-App ausgehen. Laut dem Bericht sollen dazu Web-Apps verwendet werden, die sich auf dem Home-Bildschirm ablegen lassen. Jedoch erhalten diese nur einen beschränkten Zugriff auf deine Daten, umgehen dabei jedoch auch den Review-Prozess des App Stores.

Apple selbst verweist nur auf allseits bekannte regeln, um solche Attacken abzuwehren. Man soll keine Software aus unbekannten Quellen herunterladen oder installieren – selbst wenn diese in TestFlight vertrieben wird. Das Unternehmen hat eine Webseite mit Tipps, wie man Phishing und andere Betrügereien vermeiden kann.

Was sagt Ihr zu dieser neuerlichen Attacke? Wie sinnvoll ist eine Öffnung von iOS und iPadOS? Schreibt mir Euer Feedback in die nachfolgenden Kommentare

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels