Zahlreiche App-Entwickler in China haben unabsichtlich schädliche Befehle in Programme für Handys und Tablets eingebaut. Betroffen sein können alle iPhone- und iPad-Nutzer, die sich die infizierten Apps aus Apples App-Store heruntergeladen haben. Apple hat nach eigenen Angaben alle infizierten Apps entfernt.
Unbekannte hatten den Entwicklern den veränderten Code untergeschoben. Dazu hatten sie das Apple-Programmierwerkzeug "Xcode" manipuliert, das der Konzern Entwicklern zur Verfügung stellt. Die gefälschte Version heißt "XcodeGhost" - so wird auch die Sicherheitslücke genannt.
Dem chinesischen Staatsfernsehen zufolge sind etwa 350 Apps infiziert. Die IT-Sicherheitsfirma Palo Alto Networks, die die Sicherheitslücke aufgedeckt hat, spricht dagegen von 39 iOS-Apps. Apple hat keine der beiden Zahlen bestätigt.
Es sind hauptsächlich Entwickler aus China auf die falsche Xcode-Version hereingefallen. Eine der wohl bekanntesten infizierten Apps ist der Messenger "Wechat", der aktuell mehr als 500 Millionen Nutzer hat. Weiterhin betroffen sind die Taxi-App "Didi Chuxing", "Railway 12306", die offizielle App für Bahntickets in China und "Tonghuashun", eine der beliebtesten Börsen-Apps. Die Sicherheitslücke kann aber auch europäische Nutzer betreffen. Denn einige Apps, wie beispielsweise Wechat oder der Visitenkarten-Scanner "Camcard" sind auch außerhalb Chinas verfügbar.
Das nun attackierte System galt unter Experten bisher als sicher
Glaubt man einem Beitrag im chinesischen sozialen Netzwerk Weibo, sind die Konsequenzen aus dem Hack erst einmal harmlos. Dort hatte sich der angebliche Autor der manipulierten Entwicklungssoftware zu Wort gemeldet und für die angerichtete Verwirrung entschuldigt. Er habe nur ausprobieren wollen, ob Xcode Programmteile lädt, ohne sie zu überprüfen. Sensible Daten habe er von den infizierten Geräten nicht abgefragt, lediglich technische Informationen über die verwendete Software-Version oder den Gerätetyp des Smartphones. Außerdem, so behauptet der angebliche Schuldige weiter, habe er all diese Daten schon vor mehr als einer Woche gelöscht.
Ob der Verfasser die Wahrheit sagt, ist unklar. Die Sicherheitsfirma Palo Alto Networks berichtet, dass infizierte Apps darüberhinaus in der Lage seien, Webseiten und andere Apps aufzurufen und somit den Nutzer auf Phishing-Seiten zu leiten.
Absurd an dem Fall ist, dass der Hack durch Nutzer ermöglicht wurde, die eigentlich als besonders versiert gelten müssten - nämlich die App-Entwickler selbst. Sie sind auf eine gefälschte Version eines offiziellen Apple-Entwicklungsprogramms hereingefallen, die sie von einer offenbar nicht vertrauenswürdigen Quelle im Internet heruntergeladen haben.
Allerdings haben Entwickler in China oft kaum eine andere Wahl: Wegen der Internetzensur sind offizielle Server amerikanischer Firmen selten problemlos zu erreichen. Behörden manipulieren regelmäßig verschlüsselte Verbindungen und sperren wichtige Internetseiten wie etwa Github, wo Entwickler Software-Entwicklungsprojekte speichern können. Deshalb sind Menschen in China oft darauf angewiesen, auch kostenlose Programme wie die Apple-Entwicklungsumgebung Xcode aus alternativen Quellen herunterzuladen.
Der App-Store von iOS galt bislang als sicher. Dafür sorgte vor allem die rigide Prüfung, die jede App durchlaufen muss, ehe sie im Store zum Download bereitsteht. Apple gab sich in dieser Hinsicht immer sehr selbstbewusst, erst recht im Vergleich zu Googles Android-Betriebssystem, in dessen App-Store regelmäßig Schadsoftware aufgetaucht ist. Der aktuelle Fall wirft die Frage auf, ob die Prüfmethoden von Apple wirklich unüberwindbar sind und ob Apple beim Sicherheitsversprechen an die iPhone- und iPad-Käufer übertrieben hat.
Zurzeit sind noch zu wenig Details über den Angriff bekannt, um sich effektiv zu schützen. Der Nachrichtenagentur Reuters sagte eine Apple-Sprecherin zwar, dass man Gegenmaßnahmen ergriffen habe, sie erwähnte aber keine Möglichkeit, wie Nutzer herausfinden können, ob sie betroffen sind. So bleibt für den Moment nur der übliche Ratschlag: Alle potenziell bedrohten Apps schnellstmöglich aktualisieren und gegebenenfalls sicherheitshalber ein neues Passwort vergeben. Einige Entwickler, unter ihnen Tencent (Wechat), haben den Angriff bestätigt und haben bereits saubere Updates im App-Store bereitgestellt.