Tipp von Palo Alto Networks nach Wirelurker und Masque Attack

iOS Apps sicher nutzen durch Schutz vor Missbrauch von Provisioning

München – 26. November 2014 – Vor kurzem hat Palo Alto Networks, Marktführer für Enterprise Security, über die Entdeckung von WireLurker berichtet. Die neue Familie von Malware missbraucht App-Provisioning-Profile, um potenziell bösartige Apps auf jedem iOS-Gerät zu installieren, egal ob dieses geknackt ist oder nicht. Für Schlagzeilen sorgt aktuell auch Masque Attack, eine Sicherheitslücke in iOS, bei der Angreifer ebenfalls auf Provisioning-Profile zurückgreifen, um unverschlüsselte App-Daten zu stehlen. Beide Angriffe unterstreichen die Bedeutung des Provisioning-Profil-Managements in MDM-Lösungen (Mobile Device Management). Palo Alto Networks zeigt auf, wie sich Nutzer mit der Mobile-Security-Manager-Lösung GlobalProtect vor dem Missbrauch von iOS-App-Provisioning-Profilen schützen können.

Wozu dienen Provisioning-Profile auf iOS?

Provisioning-Profile auf iOS sind eigentlich nur für interne Zwecke bestimmt, entweder für Tests oder die unternehmensweite Bereitstellung von Geräten. Installiert ein Benutzer nur Apps aus dem Apple App Store, muss kein Bereitstellungsprofil auf dem iOS-Gerät installiert werden. Wenn ein Benutzer eine Anwendung installiert, die nicht aus dem Apple App Store stammt und ein Provisioning-Profil enthält, wird das Profil auf dem iOS-Gerät installiert und kann über eine MDM (Mobile Device Management) App kontrolliert werden. In einer Unternehmensumgebung, wenn es sich um eine App mit Provisioning-Profil auf einem verwalteten iOS-Gerät handelt, sollte das Profil unter der Kontrolle der IT-Abteilung des Unternehmens sein. Wenn die IT-Abteilung iOS-Geräte mit Provisioning-Profilen identifiziert, die nicht von ihr verwaltet werden, muss sie sofort Maßnahmen ergreifen.

MDM für iOS unzulänglich

„Die MDM-Schnittstelle auf iOS ist sehr eingeschränkt. Vom MDM-Server aus kann ein IT-Administrator nur eine kurze Zusammenfassung der auf jedem Gerät installiertem Anwendungen abrufen, zusammen mit den Provisioning-Profilen. Mit solch begrenzten Informationen kann der MDM Server keine Korrelation zwischen den Anwendungen und den Provisioning-Profilen herstellen“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. “Ohne Zusammenhang kann ein IT-Administrator nicht unterscheiden, ob es sich bei einer App um Malware handelt oder sie legitim ist. Die Provisioning-Profile selbst können jedoch verwendet werden, um festzustellen, ob Malware oder unbefugte Apps auf dem Gerät installiert wurden.“

Vorgeschlagener Lösungsansatz mit MDM auf iOS

Um diese Angriffe zu erkennen, empfiehlt Palo Alto Networks, dass IT-Administratoren eine Whitelist und Blacklist von Provisioning-Profilen führen. Die Positivliste enthält dann alle Profile, die unter der Verwaltung des Unternehmens stehen. Ein Beispiel wäre ein Profil für interne App-Entwicklung und Tests. Verwalteten iOS-Geräten wäre es dann erlaubt, Anwendungen mit diesen Provisioning-Profilen zu installieren. Die Negativliste enthält wiederum bekannte bösartige/missbrauchte Provisioning-Profile. Palo Alto Networks rät außerdem, alle abgelaufenen oder widerrufenen Profile aus dem internen Gebrauch hier mit aufzunehmen.  

Wie oben erwähnt, kann ein IT-Administrator MDM-Lösungen verwenden, um eine Zuordnung zwischen installierten Provisioning-Profilen und den zugehörigen Geräten herzustellen. Zum Beispiel könnte diese Zuordnung mit Hilfe der Host Information Profil (HIP)-Reports in GlobalProtect, die von den verwalteten iOS-Geräten erfasst werden, erfolgen. Wenn der IT-Administrator feststellt, dass ein Profil weder in der Whitelist noch in der Blacklist erfasst ist, würde dieses Profil einen Alarm auslösen. In Anbetracht der erheblichen Risiken, die aus WireLurker und Masque Attack hervorgehen, sollte ein verantwortungsbewusster IT-Administrator im Falle eines Geräts mit unerwünschtem Provisioning-Profil sofort die nötigen Maßnahmen ergreifen.

Um Nutzern zu helfen, potenziell bösartige Profile zu entdecken, bietet Palo Alto Networks ein Tool an, das mit der Befehlszeilenschnittstelle des GlobalProtect Mobile Security Manager interagiert. Damit können Administratoren alle Profile, die auf den Geräten installiert sind, überwachen sowie Blacklists und Whitelists von Profilen anlegen sowie eine Liste von Profilen, die zusätzliche Aufmerksamkeit erfordern, erstellen. Das Tool ist auf GitHub (https://github.com/PaloAltoNetworks-BD/mdm-ios) verfügbar und umfasst eine umfassende Read-me-Anleitung.