Abo
  • Services:

Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

Artikel veröffentlicht am ,
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Zahlreiche Programme für Mac-Nutzer sind für Man-in-the-Middle-Angriffe verwundbar, wenn diese den Sparkle-Updater verwenden. Das schreibt der Sicherheitsforscher Radek, zu dem leider kein Vorname bekannt ist, in seinem Blog. Betroffen sind zahlreiche Programme, die eine Sparkle-Version vor 1.13.1 verwenden und bei denen die Entwickler keine Kommunikation über HTTPS implementiert haben.

Inhalt:
  1. Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen
  2. Angreifer können auch Code ausführen

Das Sparkle-Framework kann von Entwicklern genutzt werden, um automatische Update-Routinen in ihre Programme einzubauen. Zahlreiche Programme, die nicht über den Mac-App-Store verfügbar sind, setzen Sparkle ein. Das quelloffene Programm steht unter der MIT-Lizenz.

  • Eine manipulierte Webview-Komponente im Installer (Bild: Radek)
  • Die präparierte .terminal-Datei (Bild: Radek)
  • Mit einer manipulierten XML-Antwort lässt sich der Speicherverbrauch von Apps manipulieren. (Bild: Radek)
Eine manipulierte Webview-Komponente im Installer (Bild: Radek)

Im aktuellen Fall sind unter anderem VLC, uTorrent in der Version 1.8.7, Sketch 3.5.1, Camtasia 2, Version 2.10.4 und Duetdisplay 1.5.2.4 betroffen. Die Liste ist nicht abschließend und könnte zahlreiche weitere Programme umfassen. VLC hat mittlerweile ein Update veröffentlicht.

Das Problem tritt auf, wenn Entwickler darauf verzichten, für das Herunterladen der Updates und die Verteilung der Update-Informationen HTTPS zu verwenden - was ohnehin problematisch ist. Ein Angreifer im gleichen Netzwerk wie der verwundbare Rechner kann die Kommunikation zwischen dem Nutzer und dem Appcast-Server abgreifen und manipulieren. Appcast ist ein RSS-Dienst, der Informationen über verfügbare Updates, Versionsnummern und Release Notes an die Nutzer verteilt.

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. Robert Bosch GmbH, Böblingen

Appcast nutzt XML, um die Informationen an die Nutzer zu schicken. Der übermittelte Code ist reines HTML, das dann im Installer als Webview-Komponente angezeigt wird. Ein Angreifer kann durch das Abfangen der Nachricht also HTML und Javascript-Code in die Webview-Komponente einfügen und auf dem Rechner der Nutzer anzeigen.

Dieser Angriff vermag also zunächst keinen konkreten Schaden anzurichten - doch ein Angreifer könnte das System dazu bringen, den Standardbrowser aufzurufen, um dort gängige Exploit-Kits über manipulierte Webseiten aufzuspielen. Doch nicht immer sind Exploits verfügbar - ein Angriff ist trotzdem möglich.

Angreifer können auch Code ausführen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 199€ (Vergleichspreis 265,99€)
  2. 269€ (Vergleichspreis 319€)HP Pavilion 32
  3. 3,82€

/mecki78 11. Feb 2016

Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei...


Folgen Sie uns
       


Kabellose Bluetooth-Ohrstöpsel - Test

Wir haben vier komplett kabellose Bluetooth-Ohrstöpsel getestet. Mit dabei sind Apples Airpods, Boses Soundsport Free, Ankers Zolo Liberty Plus sowie Googles Pixel Buds. Dabei bewerteten wir die Klangqualität, den Tragekomfort und die Akkulaufzeit sowie den allgemeinen Umgang mit den Stöpseln.

Kabellose Bluetooth-Ohrstöpsel - Test Video aufrufen
Indiegames-Rundschau: Mutige Mäuse und tapfere Trabbis
Indiegames-Rundschau
Mutige Mäuse und tapfere Trabbis

Grafikwucht beim ganz großen Maus-Abenteuer oder lieber Simulationstiefe beim Mischen des Treibstoffs für den Trabbi? Wieder haben Fans von Indiegames die Qual der Wahl - wir stellen die interessantesten Neuheiten vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  2. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Coradia iLint: Alstoms Brennstoffzellenzug ist erschreckend unspektakulär
Coradia iLint
Alstoms Brennstoffzellenzug ist "erschreckend unspektakulär"

Ein Nahverkehrszug mit Elektroantrieb ist eigentlich keine Erwähnung wert, dieser jedoch schon: Der vom französischen Konzern Alstom entwickelte Coradia iLint hat einen Antrieb mit Brennstoffzelle. Wir sind mitgefahren.
Ein Bericht von Werner Pluta

  1. Alternativer Antrieb Toyota zeigt Brennstoffzellenauto und Bus
  2. General Motors Surus bringt Brennstoffzellen in autonome Lkw
  3. Alternative Antriebe Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

Ancestors Legacy angespielt: Mittelalter für Echtzeit-Strategen
Ancestors Legacy angespielt
Mittelalter für Echtzeit-Strategen

Historisch mehr oder weniger akkurate Spiele sind angesagt, nach Assassin's Creed Origins und Kingdom Come Deliverance will nun auch Ancestors Legacy mit Geschichte punkten. Golem.de hat eine Beta des im Mittelalter angesiedelten Strategiespiels ausprobiert.

  1. Into the Breach im Test Strategiespaß im Quadrat

    •  /