Apple, Microsoft, Tesla, PayPal: Sicherheitsforscher hackt interne Systeme von über 35 Unternehmen

Open-Source-Software ist aus modernen Computersystemen nicht mehr wegzudenken. Nicht nur macOS enthält bekanntlich eine Vielzahl von quelloffenen Tools, freie Bibliotheken und Apps kommen auch in anderen Betriebssystemen und auf Servern zum Einsatz. Zahlreiche Unternehmen setzen sie zudem hausintern für eigene Anwendungsprogramme ein. Unter Umständen kann das zum Problem werden und Hackerangriffe ermöglichen, wie der Proof-of-Concept eines Sicherheitsforschers zeigt.


Software-Verteilung ist Kern des Problems
Kern des Problems ist die Art und Weise, wie zahlreiche Open-Source-Programme verteilt werden. Sie stehen in sogenannten Repositories zur Verfügung, beispielsweise npm Registry, PyPI oder RubyGems. Unternehmen wie Apple, Microsoft oder Paypal und viele andere nutzen darüber hinaus auch proprietäre Tools, welche zwar in den entsprechenden Paketformaten vorliegen, aber ausschließlich lokal auf eigenen Servern gespeichert sind. Der Sicherheitsforscher Alex Birsan fand vor einiger Zeit heraus, dass die öffentlichen und lokalen Verteilsysteme einen Designfehler aufweisen, welcher sich zum Einschleusen von Schadsoftware nutzen lässt. Das berichtet Bleeping Computer.

Öffentliche Verzeichnisse haben Vorrang
Moderne Programme sind in aller Regel abhängig von zahlreichen Bibliotheken und Tools. Diese werden entweder bereits bei der Installation oder erst während der Ausführung nachgeladen. Birson erhielt vor einiger Zeit von einem anderen Sicherheitsforscher namens Justin Gardner eine Manifest-Datei aus einem npm-Programmpaket, welches von PayPal ausschließlich intern genutzt wurde und demzufolge nicht im öffentlichen Repository zu finden war. Daraufhin erstellte er eine harmlose Software, gab dieser den Namen des PayPal-Tools und lud sie auf npm Registry hoch. Die Folge: Alle Systeme des Zahlungsdienstes, welche das Paket einsetzen, nutzten ab sofort nicht mehr die lokal gespeicherte Version, sondern bezogen statt dessen Birsons Variante aus dem als vorrangig betrachteten öffentlichen Verzeichnis. Dieses Verhalten ist unter dem Namen "Dependency Confusion" bekannt und öffnet Hackern unter bestimmten Umständen Tür und Tor zum Einschleusen von Malware.

Unternehmen haben die Lücke geschlossen
Im Verlauf seiner Untersuchungen stellte Birson fest, dass neben PayPal zahlreiche weitere Unternehmen anfällig für diese Art von Angriffen waren. Als leichte Ziele für Attacken machte er unter anderem Apple und Microsoft, Yelp und Uber sowie Tesla aus. In einigen Fällen konnte er seine harmlose Software ohne weitere Vorkehrungen in deren Systeme einschleusen, in anderen musste er sein Programm mit einer höheren Versionsnummer versehen, damit der Download erfolgte. Für einen Angreifer stellt das allerdings naturgemäß keine nennenswerte Hürde dar. Birson informierte die betroffenen Unternehmen umgehend, die meisten haben die Lücke mittlerweile geschlossen. Es ist allerdings davon auszugehen, dass die Schwachstelle in den Systemen zahlreicher anderer Firmen noch zu finden ist. Der Sicherheitsforscher erhielt bislang Belohnungen in Höhe von insgesamt 130.000 US-Dollar, auch Apple hat ihm eine Zahlung aus dem hauseigenen Bug-Bounty-Programm zugesichert.

Kommentare

tk69
tk6910.02.21 19:23
Spricht das jetzt für oder gegen OpenSource…🤔
0
DTP
DTP10.02.21 19:27
tk69
Spricht das jetzt für oder gegen OpenSource…🤔
Weder noch. Sondern wie MTN schon schreibt „Software-Verteilung ist Kern des Problems“.
+3
stefan10.02.21 19:29
Das hat mit OpenSource gar nichts zu tun.
+3
exi
exi10.02.21 19:54
Und Opa hatte wieder Recht: "Sicher ist, das nichts sicher ist."
+3
clayman10.02.21 21:19
dass
+7
Perdiste puesto primero11.02.21 05:25
tk69
Spricht das jetzt für oder gegen OpenSource…🤔
Hier wurden proprietäre (also eigentlich ausschließlich lokal verfügbare) Tools/Libs durch Versionen aus OpenSource Repos nur aufgrund der einer Namenskollision ersetzt. D.h. es hat nichts mit OpenSource zu tun, sondern mit Softwaredistribution.

Um ein Gleichnis zu wagen: Es nützt nichts den Koch beobachten zu können (ob er im eigenen Haus sitzt, oder nicht), wenn der Kellner das Gericht einfach austauschen kann.
+2
chessboard
chessboard11.02.21 13:20
Oder vielleicht besser: Wenn jeder beliebige das Gericht in dem Regal austauschen kann, in das der Koch es gestellt hat und von dem der Kellner es abholt.
Wenn ich es richtig verstehe, besteht das Problem vor allem darin, dass der Sicherheitsforscher sein Programm überhaupt in die Repositories bringen konnte. Ab da galt es dann offensichtlich für die weiteren Abläufe als vertrauenswürdig.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.