Abo
  • Services:

One-Click-Fraud: Social Engineering mit dem iOS Developer Enterprise Program

In Japan gibt es derzeit Versuche, iOS-Nutzer anzugreifen. Eine Sicherheitslücke ist nicht betroffen. Die Angreifer setzen stattdessen auf ein Unternehmensangebot von Apple und auf Nutzereingaben. Erfolg hat die One-Click-Fraud-Kampagne allenfalls bei naiven Nutzern.

Artikel veröffentlicht am ,
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite (Bild: Symantec)

Symantec berichtet von einem Angriff auf japanische Nutzer mit Hilfe signierter Apps. Diese Apps lassen sich, so sieht es iOS vor, auch außerhalb des App Stores vertreiben. Auch wir haben schon Apps ohne App Store installiert. Diese Funktion ist vor allem für Unternehmenskunden gedacht. Die wollen ihre Anwendungen nicht unbedingt für alle öffentlich im App Store verteilen. Stattdessen wird die App beispielsweise über das Intranet verteilt.

Stellenmarkt
  1. Randstad Deutschland GmbH & Co. KG, Ratzeburg
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal

Die Angreifer machen sich diese Funktion nun zunutze, um über Werbeseiten oder auch übernommene Webseiten solche Apps zu verteilen. Diese One-Click-Fraud-Kampagne setzt dabei darauf, den Nutzer zu einem Click zu verleiten, um die Anwendung zu installieren. Laut Symantec ist nicht klar, ob die Angreifer selbst Teil des Enterprise Developer Programs sind, mit dem das möglich ist, oder sie schlicht einen Inhaber angegriffen haben.

Apples iOS fragt den Nutzer mehrfach ab

Die Angreifer setzen auf die Naivität der Nutzer. Ihnen kommt vermutlich der Umstand entgegen, dass sich iOS-Nutzer vergleichsweise sicher fühlen und damit ein geringeres Gefahrenbewusstsein haben. Dass der Angriff überhaupt funktioniert, verwundert dennoch. Bei den Angriffsseiten blendet sich ein Dialog ein, der noch einmal nachfragt, ob die App wirklich installiert werden soll.

Selbst nach der Installation ist es immer noch nicht möglich, die App zu starten. Apples iOS warnt noch einmal davor. Dieses Mal beschwert sich das Betriebssystem über die nichtvertrauenswürdige Software. Es fehlt nämlich das Unternehmenszertifikat, dem zunächst das Vertrauen ausgesprochen werden muss. In Firmen ein üblicher Vorgang.

Nach dem Start behauptet die Software irgendwann, dass der Nutzer ein Abo abgeschlossen hat und fordert diesen zur Zahlung auf. Auch das ist reines Social Engineering der Schadsoftware und kein Ausnutzen von Softwarefehlern.

Trotz der ganzen Hürden scheint sich die Verteilung so weit zu lohnen, dass die Schadsoftware-App einen Kampagnenstatus erreicht hat. Es gibt damit genug Anwender, die darauf hereinfallen.

Rechtsmanagement kann helfen

Das Vorgehen der Angreifer ist damit vergleichbar mit dem, was unter Windows lange verbreitet wird. Ein Großteil der Schadsoftware nutzt auch unter Windows keine Sicherheitslücken mehr aus, sondern nutzt mehr oder weniger gutes Social Engineering. Gegen Social Engineering können sich Unternehmen mit entsprechendem Rechtemanagement noch halbwegs schützen. Der Endanwender kennt aber häufig nicht einmal die Unterscheidung zwischen Standard- und Administrationsrechten.

Ein derartiges Rechtemanagement gibt es für Endanwender unter iOS ohnehin nicht, von den setzbaren Einschränkungen einmal abgesehen. Diese sind aber durchaus nützlich. Bestimmte Aufgaben, die ein Anwender sehr selten macht, sollten über die Restriktionen in iOS abgeschaltet werden. Wer beispielsweise selten Apps den Zugang zum Mikrofon gibt, der kann dies von Anfang an komplett unterbinden und nur bei Bedarf freischalten, auch wenn die Bedienung hakelig ist.

So lässt sich das auch grundsätzlich mit der Installation von Apps handhaben. Doch das dürfte bei den wenigsten Anwendern praxisnah sein.

Ob sich hierbei ein Trend entwickelt, iOS-Anwender mit Enterprise-Apps anzugreifen, lässt sich noch nicht sagen. Stellt sich ein gewisser Erfolg ein, ist mit Nachahmern zu rechnen.



Anzeige
Top-Angebote
  1. 249,90€ (bei Zahlung mit Masterpass zusätzlich 25€ Rabatt mit Gutschein: SOMMER25) - Bestpreis!
  2. (u. a. Toshiba N300 4 TB für 99€ statt 122,19€ im Vergleich, Samsung C24FG73 für 239€ statt...
  3. 49,97€ (Bestpreis!)

Folgen Sie uns
       


The Crew 2 - Fazit

The Crew 2 bietet zum Teil wahnwitzige Neuerungen, stolpert im Test aber trotzdem über alte Fehler.

The Crew 2 - Fazit Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

    •  /