Open-Source-Software ist aus modernen Computersystemen nicht mehr wegzudenken. Nicht nur macOS enthält bekanntlich eine Vielzahl von quelloffenen Tools, freie Bibliotheken und Apps kommen auch in anderen Betriebssystemen und auf Servern zum Einsatz. Zahlreiche Unternehmen setzen sie zudem hausintern für eigene Anwendungsprogramme ein. Unter Umständen kann das zum Problem werden und Hackerangriffe ermöglichen, wie der Proof-of-Concept eines Sicherheitsforschers zeigt.


Software-Verteilung ist Kern des Problems
Kern des Problems ist die Art und Weise, wie zahlreiche Open-Source-Programme verteilt werden. Sie stehen in sogenannten Repositories zur Verfügung, beispielsweise npm Registry, PyPI oder RubyGems. Unternehmen wie Apple, Microsoft oder Paypal und viele andere nutzen darüber hinaus auch proprietäre Tools, welche zwar in den entsprechenden Paketformaten vorliegen, aber ausschließlich lokal auf eigenen Servern gespeichert sind. Der Sicherheitsforscher Alex Birsan fand vor einiger Zeit heraus, dass die öffentlichen und lokalen Verteilsysteme einen Designfehler aufweisen, welcher sich zum Einschleusen von Schadsoftware nutzen lässt. Das berichtet Bleeping Computer.

Öffentliche Verzeichnisse haben Vorrang
Moderne Programme sind in aller Regel abhängig von zahlreichen Bibliotheken und Tools. Diese werden entweder bereits bei der Installation oder erst während der Ausführung nachgeladen. Birson erhielt vor einiger Zeit von einem anderen Sicherheitsforscher namens Justin Gardner eine Manifest-Datei aus einem npm-Programmpaket, welches von PayPal ausschließlich intern genutzt wurde und demzufolge nicht im öffentlichen Repository zu finden war. Daraufhin erstellte er eine harmlose Software, gab dieser den Namen des PayPal-Tools und lud sie auf npm Registry hoch. Die Folge: Alle Systeme des Zahlungsdienstes, welche das Paket einsetzen, nutzten ab sofort nicht mehr die lokal gespeicherte Version, sondern bezogen statt dessen Birsons Variante aus dem als vorrangig betrachteten öffentlichen Verzeichnis. Dieses Verhalten ist unter dem Namen "Dependency Confusion" bekannt und öffnet Hackern unter bestimmten Umständen Tür und Tor zum Einschleusen von Malware.

Unternehmen haben die Lücke geschlossen
Im Verlauf seiner Untersuchungen stellte Birson fest, dass neben PayPal zahlreiche weitere Unternehmen anfällig für diese Art von Angriffen waren. Als leichte Ziele für Attacken machte er unter anderem Apple und Microsoft, Yelp und Uber sowie Tesla aus. In einigen Fällen konnte er seine harmlose Software ohne weitere Vorkehrungen in deren Systeme einschleusen, in anderen musste er sein Programm mit einer höheren Versionsnummer versehen, damit der Download erfolgte. Für einen Angreifer stellt das allerdings naturgemäß keine nennenswerte Hürde dar. Birson informierte die betroffenen Unternehmen umgehend, die meisten haben die Lücke mittlerweile geschlossen. Es ist allerdings davon auszugehen, dass die Schwachstelle in den Systemen zahlreicher anderer Firmen noch zu finden ist. Der Sicherheitsforscher erhielt bislang Belohnungen in Höhe von insgesamt 130.000 US-Dollar, auch Apple hat ihm eine Zahlung aus dem hauseigenen Bug-Bounty-Programm zugesichert.