Kodi mediacenter (XBMC) kwetsbaar voor MitM-aanvallen
Het populaire mediacenter Kodi, voorheen bekend als XBMC, bevat een kwetsbaarheid waardoor aanvallers die zich tussen een gebruiker en het internet bevinden het systeem kunnen aanvallen. Via Kodi kunnen gebruikers films, muziek en andere media bijvoorbeeld op hun tv of geluidssysteem afspelen.
De software bevat een verzameling add-ons waarmee gebruikers populaire diensten zoals YouTube, Dropbox en Grooveshark kunnen benaderen. Elke keer dat Kodi wordt gestart kijkt de software of er voor geïnstalleerde add-ons updates beschikbaar zijn. In het geval van een nieuwe versie wordt die automatisch gedownload en geïnstalleerd. De updatecontrole vindt volledig plaats over HTTP, zonder encryptie, zo ontdekte het Roemeense anti-virusbedrijf Bitdefender.
De software vraagt tijdens de updatecontrole om een MD5-hash voor het laatste addons.xml-bestand, die informatie over add-ons bevat. Een aanvaller kan in dit geval een willekeurige MD5-hash terugsturen, die niet overeen hoeft te komen met het bestand dat vervolgens wordt aangeboden. De aanvaller kan hierna een speciaal geprepareerd addons.xml-bestand sturen waarin staat vermeld dat er een nieuwe versie voor een bepaalde add-on beschikbaar is. Vervolgens moet de aanvaller wel de correcte MD5-hash voor zijn kwaadaardige add-on sturen. Zodra Kodi deze add-on installeert wordt de kwaadaardige Python-code in de add-on op het systeem uitgevoerd.
Voor hun demonstratie slaagden de onderzoekers erin om een uitvoerbaar bestand te downloaden en in de opstart-directory van het systeem te plaatsen. Hierbij moet worden opgemerkt dat een aanvaller dezelfde rechten heeft als de gebruiker die Kodi draait. Uiteindelijk slaagden ze er ook in om inloggegevens voor YouTube te stelen en konden ze de Dropbox-add-on aanpassen, zodat bij het starten of synchroniseren van bestanden alle content van de lokale Dropbox-directory naar een opgegeven FTP-server werd gestuurd. De Kodi-ontwikkelaars zijn door Bitdefender ingelicht en werken aan een update. Wanneer die verschijnt is echter onbekend.
Semi-publiekelijk heb ik een fix aangevraagd, maar tot op heden geen reactie. http://forum.kodi.tv/showthread.php?tid=224399
http://tweakers.net/nieuws/103860/onderzoekers-kodi-is-kwetsbaar-bij-updaten-van-add-ons.html?sort=rating-desc&orderBy=rating&order=desc&niv=-1&mode=flat#reacties
"Ik ben een van de ontwikkelaars van Kodi. Kodi is niet bepaald geschreven met security in het achterhoofd. Zo zijn er talloze plaatsen waar een man-in-the-middle aanval mogelijk is, al is deze inderdaad wel erg makkelijk uit te voeren. Een ander eenvoudig voorbeeld is via json-rpc. En wat lastiger, maar zeker niet onuitvoerbaar, is iets voor elkaar te krijgen via een bug. Trac staat er vol mee ;-)
Mocht je bang zijn voor een aanval, zoek dan de /share/kodi/addons/repository.xbmc.org directory in je installatie en verwijder deze, of verplaats deze naar een tijdelijke directory buiten het /addons pad"
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
