Abo
  • Services:
Anzeige
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

Zahlreiche Programme für Mac-Nutzer sind für Man-in-the-Middle-Angriffe verwundbar, wenn diese den Sparkle-Updater verwenden. Das schreibt der Sicherheitsforscher Radek, zu dem leider kein Vorname bekannt ist, in seinem Blog. Betroffen sind zahlreiche Programme, die eine Sparkle-Version vor 1.13.1 verwenden und bei denen die Entwickler keine Kommunikation über HTTPS implementiert haben.

Anzeige

Das Sparkle-Framework kann von Entwicklern genutzt werden, um automatische Update-Routinen in ihre Programme einzubauen. Zahlreiche Programme, die nicht über den Mac-App-Store verfügbar sind, setzen Sparkle ein. Das quelloffene Programm steht unter der MIT-Lizenz.

  • Eine manipulierte Webview-Komponente im Installer (Bild: Radek)
  • Die präparierte .terminal-Datei (Bild: Radek)
  • Mit einer manipulierten XML-Antwort lässt sich der Speicherverbrauch von Apps manipulieren. (Bild: Radek)
Eine manipulierte Webview-Komponente im Installer (Bild: Radek)

Im aktuellen Fall sind unter anderem VLC, uTorrent in der Version 1.8.7, Sketch 3.5.1, Camtasia 2, Version 2.10.4 und Duetdisplay 1.5.2.4 betroffen. Die Liste ist nicht abschließend und könnte zahlreiche weitere Programme umfassen. VLC hat mittlerweile ein Update veröffentlicht.

Das Problem tritt auf, wenn Entwickler darauf verzichten, für das Herunterladen der Updates und die Verteilung der Update-Informationen HTTPS zu verwenden - was ohnehin problematisch ist. Ein Angreifer im gleichen Netzwerk wie der verwundbare Rechner kann die Kommunikation zwischen dem Nutzer und dem Appcast-Server abgreifen und manipulieren. Appcast ist ein RSS-Dienst, der Informationen über verfügbare Updates, Versionsnummern und Release Notes an die Nutzer verteilt.

Appcast nutzt XML, um die Informationen an die Nutzer zu schicken. Der übermittelte Code ist reines HTML, das dann im Installer als Webview-Komponente angezeigt wird. Ein Angreifer kann durch das Abfangen der Nachricht also HTML und Javascript-Code in die Webview-Komponente einfügen und auf dem Rechner der Nutzer anzeigen.

Dieser Angriff vermag also zunächst keinen konkreten Schaden anzurichten - doch ein Angreifer könnte das System dazu bringen, den Standardbrowser aufzurufen, um dort gängige Exploit-Kits über manipulierte Webseiten aufzuspielen. Doch nicht immer sind Exploits verfügbar - ein Angriff ist trotzdem möglich.

Angreifer können auch Code ausführen 

eye home zur Startseite
/mecki78 11. Feb 2016

Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei...



Anzeige

Stellenmarkt
  1. equensWorldline GmbH, Aachen
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. T-Systems International GmbH, Berlin, München, Leinfelden-Echterdingen, Wolfsburg, Bonn
  4. GK Software AG, Schöneck/Vogtland, Berlin, Sankt Ingbert (Home-Office)


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. auf Kameras und Objektive

Folgen Sie uns
       


  1. Debatte nach Wanna Cry

    Sicherheitslücken veröffentlichen oder zurückhacken?

  2. Drohne

    DJI Spark ist ein winziger Spaßcopter mit Gestensteuerung

  3. Virb 360

    Garmins erste 360-Grad-Kamera nimmt 5,7K-Videos auf

  4. Digitalkamera

    Ricoh WG-50 soll Fotos bei extremen Bedingungen ermöglichen

  5. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  6. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  7. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  8. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  9. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  10. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Wenn ich so an meinen alten Arbeitgeber denke...

    textract | 09:29

  2. Re: Unix, das Betriebssystem von Entwicklern, für...

    renegade334 | 09:26

  3. Re: Coole Sache aber,

    Bruce Wayne | 09:20

  4. Re: Wirklich nicht umweltfreundlich?

    TW1920 | 09:20

  5. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Evron | 09:19


  1. 09:02

  2. 08:28

  3. 07:16

  4. 07:08

  5. 18:10

  6. 10:10

  7. 09:59

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel