Anzeige
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

Zahlreiche Programme für Mac-Nutzer sind für Man-in-the-Middle-Angriffe verwundbar, wenn diese den Sparkle-Updater verwenden. Das schreibt der Sicherheitsforscher Radek, zu dem leider kein Vorname bekannt ist, in seinem Blog. Betroffen sind zahlreiche Programme, die eine Sparkle-Version vor 1.13.1 verwenden und bei denen die Entwickler keine Kommunikation über HTTPS implementiert haben.

Anzeige

Das Sparkle-Framework kann von Entwicklern genutzt werden, um automatische Update-Routinen in ihre Programme einzubauen. Zahlreiche Programme, die nicht über den Mac-App-Store verfügbar sind, setzen Sparkle ein. Das quelloffene Programm steht unter der MIT-Lizenz.

  • Eine manipulierte Webview-Komponente im Installer (Bild: Radek)
  • Die präparierte .terminal-Datei (Bild: Radek)
  • Mit einer manipulierten XML-Antwort lässt sich der Speicherverbrauch von Apps manipulieren. (Bild: Radek)
Eine manipulierte Webview-Komponente im Installer (Bild: Radek)

Im aktuellen Fall sind unter anderem VLC, uTorrent in der Version 1.8.7, Sketch 3.5.1, Camtasia 2, Version 2.10.4 und Duetdisplay 1.5.2.4 betroffen. Die Liste ist nicht abschließend und könnte zahlreiche weitere Programme umfassen. VLC hat mittlerweile ein Update veröffentlicht.

Das Problem tritt auf, wenn Entwickler darauf verzichten, für das Herunterladen der Updates und die Verteilung der Update-Informationen HTTPS zu verwenden - was ohnehin problematisch ist. Ein Angreifer im gleichen Netzwerk wie der verwundbare Rechner kann die Kommunikation zwischen dem Nutzer und dem Appcast-Server abgreifen und manipulieren. Appcast ist ein RSS-Dienst, der Informationen über verfügbare Updates, Versionsnummern und Release Notes an die Nutzer verteilt.

Appcast nutzt XML, um die Informationen an die Nutzer zu schicken. Der übermittelte Code ist reines HTML, das dann im Installer als Webview-Komponente angezeigt wird. Ein Angreifer kann durch das Abfangen der Nachricht also HTML und Javascript-Code in die Webview-Komponente einfügen und auf dem Rechner der Nutzer anzeigen.

Dieser Angriff vermag also zunächst keinen konkreten Schaden anzurichten - doch ein Angreifer könnte das System dazu bringen, den Standardbrowser aufzurufen, um dort gängige Exploit-Kits über manipulierte Webseiten aufzuspielen. Doch nicht immer sind Exploits verfügbar - ein Angriff ist trotzdem möglich.

Angreifer können auch Code ausführen 

eye home zur Startseite
/mecki78 11. Feb 2016

Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei...

Kommentieren



Anzeige

  1. Einkäufer IT (m/w) Workplace Services
    über HRM CONSULTING GmbH, Nürnberg
  2. IT Project Manager (m/w) IT-Projektleitung
    Deutsche Post DHL Group, Bonn
  3. Trainee (m/w) IT-Anwendungen
    Süwag Energie AG, Frankfurt am Main
  4. Consultant (m/w) Business Intelligence (Reporting)
    T-Systems on site services GmbH, Nürnberg

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Bezahlsystem

    Apple will Pay zügig in Europa ausweiten

  2. Überwachung

    Aufregung um Intermediate-Zertifikat für Bluecoat

  3. Virtual Reality

    Googles Daydream benötigt neues Smartphone

  4. Cortex-A73 Artemis

    ARMs neuer High-End-CPU-Kern für 2017

  5. Tony Fadell

    iPod-Erfinder baut Elektro-Gokarts für Kinder

  6. Riesiges Produktionsgebäude

    Ende Juli wird die Tesla Gigafactory eröffnet

  7. Maas kontra Dobrindt

    Bundesjustizminister verweigert autonomen Autos Sonderrechte

  8. Section Control

    Bremsen vor Blitzern soll nicht mehr vor Bußgeld schützen

  9. Beam

    ISS-Modul erfolgreich aufgeblasen

  10. Arbeitsbedingungen

    Apple-Store-Mitarbeiterin gewährt Blick hinter die Kulissen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

  1. Re: Es gibt doch ein komplettes Video

    Dark Harry | 10:34

  2. Re: Ich finde es eine Frechheit...

    der_wahre_hannes | 10:33

  3. Re: Kann mal jemand Herrn Maas aufklären?

    lolig | 10:31

  4. Bin mal gespannt wann Google ernst macht

    Schattenwerk | 10:31

  5. Re: Was ist der Grund dafür?

    Dwalinn | 10:31


  1. 10:31

  2. 10:27

  3. 08:45

  4. 08:15

  5. 07:44

  6. 07:24

  7. 07:10

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel