Apple gilt als rigoroser Türsteher: In seinen App Store kommt nur, was von dem Unternehmen überprüft wurde. Als Sicherheitsmechanismus hat das lange Zeit sehr gut funktioniert: Apps mit verstecktem Schadcode schafften es nur sehr selten oder nur im Rahmen von Forschungsarbeiten in den App Store. Nun hat es Apple zum ersten Mal richtig erwischt. Dutzende, teils beliebte Apps sind mit Schadcode versehen in den App Store gelangt, wie das Unternehmen einräumen musste.

Die verseuchten Apps – darunter für kurze Zeit auch der vor allem in China extrem populäre Messenger WeChat – waren in der Lage, Passwörter von Nutzern auszulesen, bestimmte, von den Nutzern eingegebene URLs umzuleiten, oder Informationen aus der Zwischenablage auszulesen und an Server zu schicken, die von den Angreifern kontrolliert werden.

Die Sicherheitsfirma Palo Alto Networks hat den Grund dafür entdeckt. Die Entwickler der Apps hatten manipulierte Versionen von Xcode verwendet, um ihre Anwendungen zu programmieren oder Updates zu schreiben. Xcode ist die Entwicklungsumgebung von Apple, mit der Programme für Apples Betriebssysteme geschrieben werden.

App-Entwickler ausgetrickst

Xcode umfasst gut drei Gigabyte, entsprechend lange kann sich der Download von Apples Servern hinziehen. Wer "Xcode download" oder etwas Ähnliches bei Google eingibt, findet aber auch alternative Quellen, über die der Download möglicherweise schneller geht. Diese Hoffnung hatten die Betrüger ausgenutzt: Vor sechs Monaten platzierten sie mehrere Download-Links für Xcode in verschiedenen Foren und auf Websites, die regelmäßig von chinesischen App-Entwicklern besucht werden, wie Palo Alto Networks schreibt. Die Xcode-Versionen hinter diesen Links aber hatten sie präpariert.

Was für eine App auch immer die Entwickler nun mit ihrer Xcode-Version programmierten – der Code zum Ausspionieren der Nutzer war immer darin enthalten, weil er beim Kompilieren der App übernommen wurde. Es ist der erste Fall von sogenannter Compiler Malware im App Store, schreibt Palo Alto Networks, und nennt sie XcodeGhost. Beim Überprüfen der Apps durch Apple verhalte sich die Malware unauffällig, weshalb sie nicht entdeckt wurde.

Nutzer wissen nicht, ob sie betroffen sind

Apple hat die betroffenen Apps mittlerweile aus dem App Store entfernt, teilte eine Sprecherin mit. Das Unternehmen wolle nun sicherstellen, dass Entwickler die richtige Version von Xcode benutzen. Wie Nutzer feststellen könne, ob sie eine der Apps installiert haben, sagte sie laut Reuters nicht. Palo Alto spricht von mindestens 39 betroffenen Apps, die chinesische Sicherheitsfirma Qihoo360 Technology will hingegen 344 Apps entdeckt haben. Apple wollte das Reuters nicht bestätigen. Anzunehmen ist, dass vor allem in China beliebte Apps die Malware enthalten. Fälle, in denen Nutzerdaten abgegriffen wurde, sind bisher aber auch nicht öffentlich bekannt geworden.

Das Konzept von Compiler Malware ist mindestens 30 Jahre alt, schreibt Palo Alto Networks. Auf die Idee, Xcode entsprechend zu manipulieren, ist auch die CIA schon gekommen, berichtete The Intercept im Frühjahr. Der US-Geheimdienst hatte das demnach bereits 2012 in Erwägung gezogen.