Vielzahl an Mac-Apps ist verwundbar für Man-in-the-Middle-Attacken
Ein Angreifer könnte hierzu Schwachstellen im Framework Sparkle ausnutzen, über das viele Apps Aktualisierungen beziehen. Die dafür aufgebaute HTTP-Verbindung ist unverschlüsselt, sodass Kriminelle den Datenstrom theoretisch abgreifen und abändern können. Ein Fix von Sparkle steht parat.
Ein Sicherheitsexperte hat Schwachstellen in gleich mehreren Mac-Applikationen entdeckt. Dadurch werden diese verwundbar für Man-in-the-Middle-Attacken. Die Anfälligkeiten finden sich im Dritthersteller-Framework Sparkle, über das zahlreiche Apps Aktualisierungen beziehen. Da sie beim Update-Prozess eine unverschlüsselte HTTP-Verbindung zum entsprechenden Server herstellen, können Angreifer im gleichen Netzwerk den Datenstrom theoretisch abgreifen und abändern. Die Lücken betreffen Ars Technica zufolge unter anderem die Videosoftware Camtasia und den BitTorrent-Client uTorrent.
Das Problem hängt demzufolge auch damit zusammen, wie Sparkle mit in der Rendering-Engine WebKit integrierten Funktionen zum Ausführen von JavaScript umgeht. Dadurch sind Angreifer auf relativ einfache Weise in der Lage, Schadcode in das System einzuschleusen. Laut dem Sicherheitsforscher Radek von Vulnerable Security sind sowohl das jüngste OS X 10.11 El Capitan wie auch die Vorgängervariante 10.10 Yosemite betroffen. In einem Video demonstriert er eine Proof-of-Concept-Attacke anhand der MySQL-Datenbank-Management-App Sequel Pro.
Radeks Forscherkollege Simone Margaritelli hat die Angriffsmethode noch verfeinert. In einem Blogbeitrag erklärt er, wie er die Sicherheitslücke auf einem vollständig gepatchten Mac mit der zu dem Zeitpunkt aktuellen Version des VLC Media Player ausnutzen konnte. Mittlerweile haben die VLC-Entwickler jedoch eine neue Version ihres Medienplayers veröffentlicht, in der die Lücke geschlossen wurde.
Wie viele Mac-Apps genau von den Anfälligkeiten betroffen sind, ist ungewiss. Radek spricht nur von einer “riesigen” Anzahl und listet neben Camtasia 2.10.4 sowie uTorrent 1.8.7 auch DuetDisplay 1.5.2.4 und Sketch 3.5.1 auf. Laut Ars Technica sind zudem das Reverse-Engineering-Tool Hopper sowie das Fotobearbeitungsprogramm DxO OpticsPro verwundbar.
Sparkle hat inzwischen einen Fix für die in seinem Framework entdeckten Sicherheitslecks verfügbar gemacht. Allerdings müssen Entwickler dafür das Framework innerhalb ihrer Apps updaten, was laut Radek nicht ganz einfach ist. Überdies müssten die eingesetzten Update-Server so konfiguriert werden, dass sie ausschließlich verschlüsselte HTTPS-Verbindungen akzeptieren.
Die Forscher von Vulnerability Security demonstrieren die möglichen Man-in-the-Middle-Attacken auch in einem Video auf Youtube.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de