Updatesysteem Mac-applicaties kwetsbaar voor MiTM-aanval
Een updatemechanisme dat verschillende populaire applicaties op Mac OS X gebruiken bevat een kwetsbaarheid waardoor een aanvaller die zich tussen de gebruiker en het internet bevindt code op het systeem kan uitvoeren. Het probleem is aanwezig in de Sparkle Updater.
Dit is een framework voor het updaten van Mac-applicaties. Het wordt onder andere gebruikt door Adium, Coda, iTerm, Tunnelblick en VLC. Beveiligingsonderzoeker. Radoslaw Karpowicz ontdekte dat Sparkle http gebruikt voor de controle of er nog nieuwe updates zijn. Het updateverzoek kan in dit geval via een Man-in-the-Middle-aanval worden onderschept.
Daarnaast vondt Karpowicz ook nog een tweede probleem. Het updateverzoek van applicaties via de Sparkle Updater wordt beantwoord via een xml-bestand, wat vervolgens informatie over een eventuele update op het beeldscherm toont. Een aanvaller blijkt het xml-bestand van kwaadaardige JavaScript te kunnen voorzien die via Webview op het systeem van de gebruiker wordt uitgevoerd.
Inmiddels is er een update voor de Sparkle Updater verschenen waarin de problemen zijn opgelost. Deze versie moet echter nog wel door de betreffende applicaties worden verwerkt, die hier ook een update voor moeten uitbrengen. Zo heeft Tunnelblick inmiddels een nieuwe versie uitgebracht. Voor beheerders van Mac-systemen geeft MacMule verschillende tips wat er kan worden gedaan om systemen in afwachting van een update te beschermen. Ook Greg Slepak van Tao Effect geeft verschillende tips hoe gebruikers zich kunnen beschermen.
Het probleem is wat vervelender en complexer, of, anders gezegd dat er een vervelend aanvullend staartje achteraan komt dat een ongelukkige config instelling in Mac OS X betreft.
Hoewel er diverse soorten belangrijke apps voor Mac OS X bestaan die zelfs op root niveau functioneren en gebruikmaken van dit Sparkle framework dat soms door verkeerde implementaties alleen met een outbound firewall te blokkeren is, is dat iets dat zich binnen enige tijd wel zal oplossen.
Als ontwikkelaars hun apps dan ook gaan voorzien van een nieuwe versie van Sparkle framework.
In dit vervolgblog wordt uitgelegd waarom er om andere redenen het goed is nog eens naar je OS X configuratie te kijken als het gaat om het toestaan of blokkeren van netwerkverkeer.
Belangrijk extra staartje leesvoer na een eerder geruststellend blog : https://www.taoeffect.com/blog/2016/02/apologies-sky-kinda-falling-protecting-yourself-from-sparklegate/
Om jezelf te beschermen (zolang Apple dat nog niet biedt) tegen ongewenste ftp/afp/smb connecties als je per ongeluk op een verkeerd linkje klikt.
Maar dan nog, als je malware binnenhaalt is nog niet direct je Mac besmet, al is het natuurlijk een foute eerste foute stap op weg naar ongein.
Die ongein moet dan wel nog gemaakt en aangeboden worden, de vraag is of dat gaat gebeuren of niet.
Meestal niet, maar het zou kunnen.
Overweeg dus een outbound firewall.
Kijk maar rond op het net, er zijn er verschillende voor OS X.
Ik ben overigens wel benieuwd of iemand weet hoe je zonder installatie van homebrew (of Firefox) genoemde soorten verbindingen zelf aan bepaalde app's kan toewijzen.
Anybody?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
