Letzte Woche wurde der erste Trojaner für das iPhone entdeckt (siehe z.B. diese Blogeinträge von F-Secure und Symantec sowie die Warnung von 'Ste Packaging'). Schadsoftware für Mobiltelefone ist ja erst einmal nichts Neues. Und dass es irgendwann auch das iPhone erwischen wird, war zu erwarten. Dieser Trojaner betrifft noch nicht mal alle iPhones, sondern nur entsperrte Geräte, bei denen die Installation fremder Software überhaupt erst möglich ist.
Der Trojaner wurde als Programmpaket für den Paketmanager
Installer.app auf einem Webserver abgelegt. Insgesamt gibt es 3 Versionen:
Eine mit dem Namen "Important UPDATE" und der
Beschreibung "An important system update." und eine
mit dem Namen "iPhone firmware 1.1.3 prep",
beschrieben als "An important system update. Install this before
updating to the new 1.1.3 firmware.", beide in der Kategorie
System/Update. Die Pakete installieren die Utility-Sammlung "Erica's
Utilities" und geben ansonsten nur "shoes." aus. Unangenehm
wird es nur bei der Deinstallation, da dabei alle installierten Dateien
gelöscht werden - auch wenn sie vorher schon vorhanden waren. Wer also
"Erica's Utilities" oder ein anderes Paket, das Teile daraus
benötigt, verwendet, kann die Programme danach nicht mehr benutzen. Ob
das Absicht oder ein Fehler des Trojaner-Autors war, ist nicht bekannt. Die
dritte Version heißt "Jo Mama", hat die
Beschreibung "Potatoes are burning to the ground",
und befindet sich in der Kategorie "JMCO Apps". Dieses Paket
installiert eine veraltete OpenSSH-Version und macht damit vorhandene
Installationen unbrauchbar.
Am weitesten verbreitet scheint laut
diesem Eintrag
im modmyifone-Forum und den Blogeinträgen von
F-Secure
und
Symantec
das Paket "iPhone firmware 1.1.3 prep" zu sein. Man kann wohl
davon ausgehen, dass entsperrte Geräte in den Händen von zwei
Benutzergruppen sind: Einmal die, die die Geräte selbst modifiziert
haben, und einmal die, die sich entsperrte Geräte gekauft haben bzw.
sich ihre Geräte von Dritten haben entsperren lassen. Die zweite
Gruppe wird in den allermeisten Fällen nichts an der Firmware
ändern, also auch keine entsprechenden Pakete herunterladen. Und bei
der ersten Gruppe werden hoffentlich die meisten Benutzer vorsichtig genug
sein, nicht jedes gefundene Programm ohne langes Nachdenken sofort zu
installieren. Und wer es doch getan hat - Pech gehabt. Wer Software
installiert, tut das immer auf eigenes Risiko. Und wer eine Software
für eine Firmware-Version installiert, die es noch gar nicht gibt...
nun, mein Mitleid hält sich dann doch in sehr engen Grenzen. Ebenso
bei den anderen beiden Paketen - wer ein Update ohne weitere Informationen
und ein Paket mit der Beschreibung "Potatoes are burning to the
ground" einfach mal eben so installiert, hat es nicht besser
verdient.
Insgesamt dürfte die Verbreitung des Trojaners, gemessen an der Gesamtzahl verkaufter iPhones, also ziemlich gering sein. Eigentlich gäbe es also keinen Grund, sich damit weiter zu beschäftigen. Der Grund, warum ich es trotzdem tue, ist der Autor des Trojaners: Der ist laut der Warnung von 'Ste Packaging' erst 11 Jahre alt und hat laut F-Secure einfach nur mit ein paar XML-Dateien gespielt. Das gibt dem Begriff "Script-Kiddie" gleich eine ganz neue Bedeutung. Da das iPhone eine angepasste Version von Mac OS X nutzt und Mac OS X XML-Dateien u.a. für alle möglichen Konfigurationszwecke verwendet, gehe ich davon aus, dass einfach nur einige der Konfigurationsdateien eines vorhandenen Programmpakets geändert wurden. Eben so, dass bei der Installation "shoes." ausgegeben wird. Das Löschen noch benötigter Programme kann auf einen schon vorhandenen Fehler in Deinstallationsskript zurückzuführen sein. Das klingt für mich wie ein typisches, vermurkstes Deinstallationsskript: "Ich lösche, was zu mir gehört - alles andere interessiert mich nicht". Gut möglich also, dass der Junge daran unschuldig ist.
Was bleibt, ist, dass ein 11-Jähriger ein paar XML-Dateien geändert und dann die geänderten Pakete veröffentlicht hat. Das erste ist eine nette Spielerei, da ist weiter nichts dabei. Das fertige Paket dann aber unter einem irreführenden Namen und mit einer irreführenden Beschreibung ins Netz zu stellen, ist dann doch schon ziemlich bösartig, um mal das Wort kriminell zu vermeiden. Trotzdem sollten ihm die Leute, die jetzt z.B. im modmyifone-Forum auf ihm herumhacken und lächerliche Drohungen ausstoßen, Dankbar dafür sein, das er unfreiwillig so einen schönen Proof-of-concept geliefert hat. Ganz abgesehen davon, dass die Geschädigten sich lieber selbst in den verlängerten Rücken treten sollten, statt dem Kind damit zu drohen - wer hat das Paket denn installiert? Jetzt sieht man wenigstens mal, wie leicht sich so ein Trojaner verteilen lässt. Und das nächste Mal wird es nicht so eine Kinderspielerei sein. Denn viele werden sich jetzt sagen "Was ein 11-Jähriger kann, kann ich schon lange" - und ein besser getarnter Trojaner mit einer echten Schadfunktion kann einigen Schaden anrichten.
Ein netter Zufall am Rande: Als ich die erste Meldung zum iPhone-Trojaner gelesen habe, hatte ich auch gerade "Generation Java" zum 10-jährigen Jubiläum des Java-Magazins gelesen (Herzlichen Glückwunsch!). Der Junge hat noch Windeln getragen, als das erste Java-Magazin erschienen ist. Wie wird wohl mal die Generation des Jungen genannt werden?
Schlimmer geht immer
Eigentlich sollte der Text damit enden, aber irgendetwas kommt ja immer noch, was einfach zu gut passt. Und was ist ein 11-Jähriger iPhone-Trojaner-Bastler gegen einen 14-Jährigen, der mit einer umgebauten TV-Fernbedienung S-Bahn-Weichen umschaltet? Das ist angeblich "laut Medienberichten" im polnischen Lodz passiert. Da scheinen ja wohl ein paar Schutzfunktionen entweder komplett zu fehlen oder unbrauchbar zu sein. Zu finden z.B. bei msn.com, RP online und im Spiegel Netzwelt-Ticker. Die Texte gleichen sich alle ziemlich, der Spiegel verweist auf einen Artikel in The Register, der verweist ohne Link auf 'The Telegraph'. Da habe ich dann diesen Artikel gefunden. Interessant - vor allem die Hightech-Ausrüstung auf dem Foto vom Telegraph. Wann es wohl die ersten Nachahmer gibt? Hoffentlich sind die Systeme anderswo besser gesichert!
Und zum Schluss...
... noch kurz ein Hinweis auf den "Diminutive XSS Worm Replication Contest", der am Donnerstag endete: Gesucht wurde der kürzeste XSS-Wurm. Initiator der Aktion ist RSnake, Autor des schon öfter erwähnten XSS Cheat Sets. Mehr dazu demnächst in der nächsten Folge von About Security.
Carsten Eilers
