„Flekst0re“: Alternativer iOS-Marktplatz verändert bekannte Apps

In der EU – und bald auch in weiteren Regionen – ist Apple dazu verpflichtet, alternative App-Marktplätze zuzulassen. Der übliche Weg ist komplex und setzt aktuell sechs Schritte voraus, bis der User etwa den Epic Games Store auf seinem Gerät hat. Es gibt aber auch noch andere Wege, die nun die Security-Research-Abteilung des Mobile-Device-Management-Anbieters Jamf untersucht hat: Dienste, die verschiedene Tricks verwenden, um neue App-Quellen zu erschließen. Dabei kann es – wovor auch Apple stets intensiv warnt – zum Reißen von schwerwiegenden Sicherheitslücken kommen.

Zertifikatsprofil hebel Sicherheitsmechanismen aus

Der sogenannte Flekst0re, der mit dem Slogal „Jailbreak ohne Jailbreak“ wirbt, nutzt Apples reguläre Wege für alternative App-Marktplätze nicht, sondern operiert mithilfe eines manuell zu installierenden Zertifikatsprofils. Das macht die Sache nochmals unsicherer, zumal Apple hier dann für die derart vertriebenen Apps keinerlei auch nur rudimentäre Sicherheitsüberprüfung vornimmt.

Laut Jamf nutzen die Flekst0re-Server dann auch noch Enterprise-Distribution-Zertifikate, um die Apps auf die Geräte zu bekommen – auch das ein Hack. Damit werden alle Apple-Sicherheitsmerkmale ausgehebelt, obwohl die Anwendungen auf den Geräten selbst wie „normale“ Apps aussehen. Auch das Angebot im Flekst0re wirkt dubios: Hier werden – mit Original-Icons versehene – „Sonderversionen“ bekannter Apps wie YouTube, Instagram, WhatsApp oder TIkTok vertrieben, genauso wie bekannte Spiele, darunter sogar das für iOS gar nicht offiziell verfügbare „Cuphead“.

Schnüffelnde WhatsApp-Variante eingebracht

Jamf zufolge können über den Vertriebsweg aufs Gerät gelangte Apps letztlich alles. Belegt wurde dies mit einer eigens manipulierten WhatsApp-Variante, die Chats mitschneiden und weiterversenden kann. Der Proof of Concept wurde über Flekst0re vertrieben, dann aber wieder gelöscht. Jamf rät, keinesfalls wichtige Accountdaten in solche Apps einzugeben und zudem auf die Quellen (Repositories, Repos) zu achten. Man dürfe zudem nicht annehmen, dass der nicht notwendige Jailbreak das Gerät sicher halte. „Unbekannten Code laufen zu lassen, der von unbekannten Parteien signiert wurde, könnte genauso oder noch gefährlicher sein.“

FlekSt0re selbst gab gegenüber Jamf an, man teste alle Apps vorher „um sicherzustellen, dass sie laufen“. Alle Apps seien zudem „sicher“ und übertrugen „keine Daten oder andere Informationen“, denn das sei „technisch schwierig“. FlekSt0re sieht sich selbst nur als „bequemer Dienst für das Signieren von Anwendungen“. Die Macher räumen allerdings ein, auch mindestens drei weitere Repositories eingebunden zu haben, die sie nicht selbst kontrolieren. „Wir sind mit den Machern im Kontakt, um sicherzustellen, dass die Apps genauso sicher sind.“ Allerdings sei man für die dort vertriebenen Anwendungen nicht verantwortlich, schließlich stünden sie auch für weitere Nutzer offen.

(bsc)