image

Kodi mediacenter (XBMC) kwetsbaar voor MitM-aanvallen

dinsdag 23 juni 2015, 12:36 door Redactie, 4 reacties

Het populaire mediacenter Kodi, voorheen bekend als XBMC, bevat een kwetsbaarheid waardoor aanvallers die zich tussen een gebruiker en het internet bevinden het systeem kunnen aanvallen. Via Kodi kunnen gebruikers films, muziek en andere media bijvoorbeeld op hun tv of geluidssysteem afspelen.

De software bevat een verzameling add-ons waarmee gebruikers populaire diensten zoals YouTube, Dropbox en Grooveshark kunnen benaderen. Elke keer dat Kodi wordt gestart kijkt de software of er voor geïnstalleerde add-ons updates beschikbaar zijn. In het geval van een nieuwe versie wordt die automatisch gedownload en geïnstalleerd. De updatecontrole vindt volledig plaats over HTTP, zonder encryptie, zo ontdekte het Roemeense anti-virusbedrijf Bitdefender.

De software vraagt tijdens de updatecontrole om een MD5-hash voor het laatste addons.xml-bestand, die informatie over add-ons bevat. Een aanvaller kan in dit geval een willekeurige MD5-hash terugsturen, die niet overeen hoeft te komen met het bestand dat vervolgens wordt aangeboden. De aanvaller kan hierna een speciaal geprepareerd addons.xml-bestand sturen waarin staat vermeld dat er een nieuwe versie voor een bepaalde add-on beschikbaar is. Vervolgens moet de aanvaller wel de correcte MD5-hash voor zijn kwaadaardige add-on sturen. Zodra Kodi deze add-on installeert wordt de kwaadaardige Python-code in de add-on op het systeem uitgevoerd.

Voor hun demonstratie slaagden de onderzoekers erin om een uitvoerbaar bestand te downloaden en in de opstart-directory van het systeem te plaatsen. Hierbij moet worden opgemerkt dat een aanvaller dezelfde rechten heeft als de gebruiker die Kodi draait. Uiteindelijk slaagden ze er ook in om inloggegevens voor YouTube te stelen en konden ze de Dropbox-add-on aanpassen, zodat bij het starten of synchroniseren van bestanden alle content van de lokale Dropbox-directory naar een opgegeven FTP-server werd gestuurd. De Kodi-ontwikkelaars zijn door Bitdefender ingelicht en werken aan een update. Wanneer die verschijnt is echter onbekend.

Reacties (4)
23-06-2015, 14:03 door Flashback956
Sorry hoor maar dit is gewoon dom, kan er niks anders van maken.
23-06-2015, 15:14 door Anoniem
Het is twee maanden geleden dat BitDefender en SuperRepo contact hebben opgenomen met Team Kodi om dit probleem kenbaar te maken. De afgelopen maanden heb ik ze er herhaaldelijk aan herinnerd maar de gemiddelde reactie van de ontwikkelaars was: "Het waait wel over".

Semi-publiekelijk heb ik een fix aangevraagd, maar tot op heden geen reactie. http://forum.kodi.tv/showthread.php?tid=224399
23-06-2015, 16:03 door Anoniem
Door Anoniem:Semi-publiekelijk heb ik een fix aangevraagd, maar tot op heden geen reactie. http://forum.kodi.tv/showthread.php?tid=224399
Probeer het eens via de bug tracker, een paar zoekacties suggereren dat niemand die moeite al heeft genomen: http://trac.kodi.tv/
24-06-2015, 15:24 door Anoniem
reactie van een van de kodi ontwikkelaars op tweakers... schrik er toch een beetje van ...

http://tweakers.net/nieuws/103860/onderzoekers-kodi-is-kwetsbaar-bij-updaten-van-add-ons.html?sort=rating-desc&orderBy=rating&order=desc&niv=-1&mode=flat#reacties

"Ik ben een van de ontwikkelaars van Kodi. Kodi is niet bepaald geschreven met security in het achterhoofd. Zo zijn er talloze plaatsen waar een man-in-the-middle aanval mogelijk is, al is deze inderdaad wel erg makkelijk uit te voeren. Een ander eenvoudig voorbeeld is via json-rpc. En wat lastiger, maar zeker niet onuitvoerbaar, is iets voor elkaar te krijgen via een bug. Trac staat er vol mee ;-)

Mocht je bang zijn voor een aanval, zoek dan de /share/kodi/addons/repository.xbmc.org directory in je installatie en verwijder deze, of verplaats deze naar een tijdelijke directory buiten het /addons pad"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.