IT-Sicherheit Macht Apple es Cyberangreifern zu leicht?

Henning Steier

9.4.2019

Apples Unternehmenszertifikate lassen sich relativ leicht missbrauchen.
Apples Unternehmenszertifikate lassen sich relativ leicht missbrauchen.
Symbolbild: Getty Images

Zwecks Tests können Unternehmen Anwendungen am App Store vorbei auf Geräte ihrer Kunden bringen. Diese Freiheit wird aber immer wieder missbraucht. Wann handelt Apple?

Der IT-Sicherheitsanbieter Lookout hat weitere Apps entdeckt, die Apples Enterprise Certificates Program missbraucht haben, um Smartphone-Nutzer auszuspionieren. Wie Adam Bauer, Senior Staff Security Intelligence Engineer, im Unternehmensblog schreibt, tarnten sich die Anwendungen als solche von Mobilfunkanbietern in Italien und Turkmenistan. Die Applikationen gaben vor, die Geräte der Opfer zu optimieren. In Wirklichkeit griffen sie unter anderem Ortsdaten und Fotos ab – und zeichneten Gespräche auf.

Mit Enterprise Certificates ist es möglich, Apps ohne Verwendung des App Stores direkt auf iOS-Geräten zu installieren. Erklärtes Ziel ist hierbei, dass App-Entwickler Vorabversionen ihrer Produkte intern testen können. Die Ausspielung von Apps an Nicht-Mitarbeiter auf diese Art verbietet Apple in seinen Bestimmungen explizit.

Pornos und Glücksspiele

Das Programm birgt enormes Missbrauchspotenzial: Nicht nur Facebook und Google nutzten das Programm, um Apps an den App-Store-Kontrollen vorbei an Nutzer zu bringen. Auch Anbieter von Porno- und Glücksspielapps verwendeten den Trick.

Zertifikate werden immer wieder gestohlen oder verkauft. Im von Lookout dokumentierten Fall gibt es Parallelen, etwa die genutzten Server, zu einer Schadsoftware namens Exodus, die bisher nur für Android bekannt ist. Diese wurde vom italienischen Unternehmen Connexxa entwickelt und wird von dortigen Behörden eingesetzt, um Kriminelle zu überführen. Exodus ist noch leistungsfähiger als die iOS-Version der Schadsoftware, denn erstgenannte verschafft sich Root-Zugriff auf Android-Geräten und damit uneingeschränkte Rechte.

Kein Kommentar

Wie viele unbescholtene Nutzer Opfer des jüngsten Missbrauchs von Apples Unternehmenszertifikaten geworden sind, ist nicht bekannt. Connexa und Apple kommentieren den Lookout-Report nicht. 

Das Prozedere zum Erlangen eines Enterprise Certificate ist offenbar kinderleicht. Interessierte müssen 299 Dollar zahlen und eine Unternehmensadresse und -registrierungsnummer angeben. Letztere werden aber offenbar von Apple kaum kontrolliert, so dass man einfach die Daten irgendeines Unternehmen verwenden kann. Ob und wann Apple hier nachbessern wird, ist noch nicht bekannt geworden.

Hier können Sie dem Autor auf Twitter folgen – und dort können Sie sich mit ihm auf Linkedin vernetzen.

Bilder des Tages

Zurück zur Startseite