Computergebruikers die hun software via een draadloos netwerk updaten, lopen het risico malware te installeren, dat laten onderzoekers Itzik Kotler en Tomer Bitton vandaag tijdens Defcon 17 zien. De twee hebben een manier gevonden om het update proces via WiFi te kapen en te vervangen door malware. "De meeste applicaties doen een eenvoudige HTTP transactie die een bestand met een nieuwere versie downloadt. We kunnen de sessie kapen en voorzien van een 'applicatie update' die van onze kwaadaardige website afkomstig is", laat Kotler weten. Op deze manier infecteren gebruikers hun eigen systeem.

De 'Ippon tool' die de twee onderzoekers ontwikkelden, maakt het ook mogelijk om via de al besmette machine een aanval op computers in de buurt van het WiFi-netwerk uit te voeren. "Je kunt de tool instellen zodat die zichzelf gaat verspreiden en hetzelfde doet bij andere machines." Welke applicaties voor de aanval kwetsbaar zijn wil Kotler niet zeggen, maar het zijn zo'n 100 "dagelijkse applicaties", van brandsoftware tot videospelers. De software van Microsoft is immuun voor de aanval, aangezien daar alle updates van een digitale handtekening worden voorzien. "Als een ontwikkelaar een publieke sleutel verspreidt en elk bestand met zijn eigen sleutel tekent, dan zijn de updates tegen de aanval beschermd."

Onveilige WiFi
De aanval maakt gebruik van zowel onbeveiligde WiFi-netwerken als de onveilige manier waarop veel applicaties zichzelf updaten. Gebruikers die een VPN draaien hoeven zich geen zorgen te maken. "Als we in de buurt van het WiFi-netwerk zijn, monitoren we de HTTP requests. Het slachtoffer moet dan aan het updaten zijn, of je kunt hem laten denken dat er een update is." De onderzoekers ontwikkelden ook een tool die legitiem lijkende nepwaarschuwingen afgeeft dat er een update voor een bepaald programma beschikbaar is.