Het populaire mediacenter Kodi, voorheen bekend als XBMC, bevat een kwetsbaarheid waardoor aanvallers die zich tussen een gebruiker en het internet bevinden het systeem kunnen aanvallen. Via Kodi kunnen gebruikers films, muziek en andere media bijvoorbeeld op hun tv of geluidssysteem afspelen.
De software bevat een verzameling add-ons waarmee gebruikers populaire diensten zoals YouTube, Dropbox en Grooveshark kunnen benaderen. Elke keer dat Kodi wordt gestart kijkt de software of er voor geïnstalleerde add-ons updates beschikbaar zijn. In het geval van een nieuwe versie wordt die automatisch gedownload en geïnstalleerd. De updatecontrole vindt volledig plaats over HTTP, zonder encryptie, zo ontdekte het Roemeense anti-virusbedrijf Bitdefender.
De software vraagt tijdens de updatecontrole om een MD5-hash voor het laatste addons.xml-bestand, die informatie over add-ons bevat. Een aanvaller kan in dit geval een willekeurige MD5-hash terugsturen, die niet overeen hoeft te komen met het bestand dat vervolgens wordt aangeboden. De aanvaller kan hierna een speciaal geprepareerd addons.xml-bestand sturen waarin staat vermeld dat er een nieuwe versie voor een bepaalde add-on beschikbaar is. Vervolgens moet de aanvaller wel de correcte MD5-hash voor zijn kwaadaardige add-on sturen. Zodra Kodi deze add-on installeert wordt de kwaadaardige Python-code in de add-on op het systeem uitgevoerd.
Voor hun demonstratie slaagden de onderzoekers erin om een uitvoerbaar bestand te downloaden en in de opstart-directory van het systeem te plaatsen. Hierbij moet worden opgemerkt dat een aanvaller dezelfde rechten heeft als de gebruiker die Kodi draait. Uiteindelijk slaagden ze er ook in om inloggegevens voor YouTube te stelen en konden ze de Dropbox-add-on aanpassen, zodat bij het starten of synchroniseren van bestanden alle content van de lokale Dropbox-directory naar een opgegeven FTP-server werd gestuurd. De Kodi-ontwikkelaars zijn door Bitdefender ingelicht en werken aan een update. Wanneer die verschijnt is echter onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.