Abo
  • Services:
Anzeige
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

Zahlreiche Programme für Mac-Nutzer sind für Man-in-the-Middle-Angriffe verwundbar, wenn diese den Sparkle-Updater verwenden. Das schreibt der Sicherheitsforscher Radek, zu dem leider kein Vorname bekannt ist, in seinem Blog. Betroffen sind zahlreiche Programme, die eine Sparkle-Version vor 1.13.1 verwenden und bei denen die Entwickler keine Kommunikation über HTTPS implementiert haben.

Anzeige

Das Sparkle-Framework kann von Entwicklern genutzt werden, um automatische Update-Routinen in ihre Programme einzubauen. Zahlreiche Programme, die nicht über den Mac-App-Store verfügbar sind, setzen Sparkle ein. Das quelloffene Programm steht unter der MIT-Lizenz.

  • Eine manipulierte Webview-Komponente im Installer (Bild: Radek)
  • Die präparierte .terminal-Datei (Bild: Radek)
  • Mit einer manipulierten XML-Antwort lässt sich der Speicherverbrauch von Apps manipulieren. (Bild: Radek)
Eine manipulierte Webview-Komponente im Installer (Bild: Radek)

Im aktuellen Fall sind unter anderem VLC, uTorrent in der Version 1.8.7, Sketch 3.5.1, Camtasia 2, Version 2.10.4 und Duetdisplay 1.5.2.4 betroffen. Die Liste ist nicht abschließend und könnte zahlreiche weitere Programme umfassen. VLC hat mittlerweile ein Update veröffentlicht.

Das Problem tritt auf, wenn Entwickler darauf verzichten, für das Herunterladen der Updates und die Verteilung der Update-Informationen HTTPS zu verwenden - was ohnehin problematisch ist. Ein Angreifer im gleichen Netzwerk wie der verwundbare Rechner kann die Kommunikation zwischen dem Nutzer und dem Appcast-Server abgreifen und manipulieren. Appcast ist ein RSS-Dienst, der Informationen über verfügbare Updates, Versionsnummern und Release Notes an die Nutzer verteilt.

Appcast nutzt XML, um die Informationen an die Nutzer zu schicken. Der übermittelte Code ist reines HTML, das dann im Installer als Webview-Komponente angezeigt wird. Ein Angreifer kann durch das Abfangen der Nachricht also HTML und Javascript-Code in die Webview-Komponente einfügen und auf dem Rechner der Nutzer anzeigen.

Dieser Angriff vermag also zunächst keinen konkreten Schaden anzurichten - doch ein Angreifer könnte das System dazu bringen, den Standardbrowser aufzurufen, um dort gängige Exploit-Kits über manipulierte Webseiten aufzuspielen. Doch nicht immer sind Exploits verfügbar - ein Angriff ist trotzdem möglich.

Angreifer können auch Code ausführen 

eye home zur Startseite
/mecki78 11. Feb 2016

Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei...



Anzeige

Stellenmarkt
  1. GEMÜ Gebr. Müller Apparatebau GmbH & Co. KG, Ingelfingen
  2. Robert Bosch GmbH, Reutlingen
  3. Germania Finanz AG, Berlin
  4. Scandio GmbH, München


Anzeige
Spiele-Angebote
  1. (-15%) 25,49€
  2. 2,99€
  3. 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Surge 1

    Xiaomis erstes Smartphone-SoC ist ein Mittelklasse-Chip

  2. TC-7680

    Kabelmodem für Gigabit-Datenraten vorgestellt

  3. Störerhaftung

    Regierung will Netzsperren statt Abmahnkosten

  4. Voice ID

    Alexa soll Nutzer an der Stimme erkennen können

  5. Chrome

    Bluecoat bremst Einführung von besserem TLS-Protokoll

  6. HTC D4

    Cog Systems will das sicherste Smartphone der Welt zeigen

  7. Raspberry Pi Zero W

    Zero bekommt WLAN und Bluetooth

  8. Gebäudesteuerung

    Luxusklinik vergaß IT im Netz

  9. Internet.org

    Facebook plant neue Flüge für Solardrohne Aquila

  10. Toughbook CF-33

    Panasonics Detachable blendet mit 1.200 Candela/qm



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Pro x2 G2 HPs Surface-Konkurrent bekommt neue Hardware
  2. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  3. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

  1. Re: Privatsphäre

    TrollNo1 | 15:53

  2. Re: Mehrere Betriebssysteme...

    Phantom | 15:50

  3. Re: Festnetzersatz in dicht besiedelten...

    Reci | 15:50

  4. Aufbrechen der Kanalgrenzen durch DOCSIS 3.1

    M.P. | 15:49

  5. Re: Bei mir ist das schon Modifikation, wenn ....

    Moe479 | 15:48


  1. 15:23

  2. 14:57

  3. 14:40

  4. 14:28

  5. 13:44

  6. 12:47

  7. 12:21

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel