Abo
  • Services:

One-Click-Fraud: Social Engineering mit dem iOS Developer Enterprise Program

In Japan gibt es derzeit Versuche, iOS-Nutzer anzugreifen. Eine Sicherheitslücke ist nicht betroffen. Die Angreifer setzen stattdessen auf ein Unternehmensangebot von Apple und auf Nutzereingaben. Erfolg hat die One-Click-Fraud-Kampagne allenfalls bei naiven Nutzern.

Artikel veröffentlicht am ,
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite
One-Click-Betrug gegen iOS-Nutzer auf einer japanischen Seite (Bild: Symantec)

Symantec berichtet von einem Angriff auf japanische Nutzer mit Hilfe signierter Apps. Diese Apps lassen sich, so sieht es iOS vor, auch außerhalb des App Stores vertreiben. Auch wir haben schon Apps ohne App Store installiert. Diese Funktion ist vor allem für Unternehmenskunden gedacht. Die wollen ihre Anwendungen nicht unbedingt für alle öffentlich im App Store verteilen. Stattdessen wird die App beispielsweise über das Intranet verteilt.

Stellenmarkt
  1. Volkswagen AG, München
  2. Universität Passau, Passau

Die Angreifer machen sich diese Funktion nun zunutze, um über Werbeseiten oder auch übernommene Webseiten solche Apps zu verteilen. Diese One-Click-Fraud-Kampagne setzt dabei darauf, den Nutzer zu einem Click zu verleiten, um die Anwendung zu installieren. Laut Symantec ist nicht klar, ob die Angreifer selbst Teil des Enterprise Developer Programs sind, mit dem das möglich ist, oder sie schlicht einen Inhaber angegriffen haben.

Apples iOS fragt den Nutzer mehrfach ab

Die Angreifer setzen auf die Naivität der Nutzer. Ihnen kommt vermutlich der Umstand entgegen, dass sich iOS-Nutzer vergleichsweise sicher fühlen und damit ein geringeres Gefahrenbewusstsein haben. Dass der Angriff überhaupt funktioniert, verwundert dennoch. Bei den Angriffsseiten blendet sich ein Dialog ein, der noch einmal nachfragt, ob die App wirklich installiert werden soll.

Selbst nach der Installation ist es immer noch nicht möglich, die App zu starten. Apples iOS warnt noch einmal davor. Dieses Mal beschwert sich das Betriebssystem über die nichtvertrauenswürdige Software. Es fehlt nämlich das Unternehmenszertifikat, dem zunächst das Vertrauen ausgesprochen werden muss. In Firmen ein üblicher Vorgang.

Nach dem Start behauptet die Software irgendwann, dass der Nutzer ein Abo abgeschlossen hat und fordert diesen zur Zahlung auf. Auch das ist reines Social Engineering der Schadsoftware und kein Ausnutzen von Softwarefehlern.

Trotz der ganzen Hürden scheint sich die Verteilung so weit zu lohnen, dass die Schadsoftware-App einen Kampagnenstatus erreicht hat. Es gibt damit genug Anwender, die darauf hereinfallen.

Rechtsmanagement kann helfen

Das Vorgehen der Angreifer ist damit vergleichbar mit dem, was unter Windows lange verbreitet wird. Ein Großteil der Schadsoftware nutzt auch unter Windows keine Sicherheitslücken mehr aus, sondern nutzt mehr oder weniger gutes Social Engineering. Gegen Social Engineering können sich Unternehmen mit entsprechendem Rechtemanagement noch halbwegs schützen. Der Endanwender kennt aber häufig nicht einmal die Unterscheidung zwischen Standard- und Administrationsrechten.

Ein derartiges Rechtemanagement gibt es für Endanwender unter iOS ohnehin nicht, von den setzbaren Einschränkungen einmal abgesehen. Diese sind aber durchaus nützlich. Bestimmte Aufgaben, die ein Anwender sehr selten macht, sollten über die Restriktionen in iOS abgeschaltet werden. Wer beispielsweise selten Apps den Zugang zum Mikrofon gibt, der kann dies von Anfang an komplett unterbinden und nur bei Bedarf freischalten, auch wenn die Bedienung hakelig ist.

So lässt sich das auch grundsätzlich mit der Installation von Apps handhaben. Doch das dürfte bei den wenigsten Anwendern praxisnah sein.

Ob sich hierbei ein Trend entwickelt, iOS-Anwender mit Enterprise-Apps anzugreifen, lässt sich noch nicht sagen. Stellt sich ein gewisser Erfolg ein, ist mit Nachahmern zu rechnen.



Anzeige
Hardware-Angebote
  1. 216,50€
  2. 119,90€

Folgen Sie uns
       


Asus Zenbook Pro 14 - Test

Das Touchpad des Asus Zenbook Pro 14 ist ein kleiner Bildschirm. Hört sich nutzlos an, hat uns aber dennoch im Test überzeugt.

Asus Zenbook Pro 14 - Test Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Elektromobilität: Der Umweltbonus ist gescheitert
Elektromobilität
Der Umweltbonus ist gescheitert

Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
Eine Analyse von Dirk Kunde

  1. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
  2. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen
  3. Volkswagen Electrify America nutzt Tesla-Powerpacks zur Deckung von Spitzen

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

    •  /