Безопасность OS X под угрозой из-за популярного фреймворка

Александр Панасенко 02 Февраля 2016 - 14:19

...

Исследователь Радослав Карпович (Radoslaw Karpowicz) обнаружил, что использование фреймворка Sparkle Updater представляет угрозу для пользователей OS X. Процесс обновления приложений, использующих Sparkle Updater, нельзя считать безопасным.

Sparkle Updater – популярный компонент множества приложений, он позволяет разработчикам значительно упростить процесс обновления: пользователям не приходится проверять обновления вручную. Уязвимость кроется не в коде фреймворка, проблема в том, что разработчики часто забывают правильно его настроить, в результате чего Sparkle Updater во многих случаях использует HTTP вместо HTTPS.

Для работы фреймворк использует AppCast сервер, который функционирует подобно RSS-протоколу, получая уведомления, когда разработчики выпускают обновления или анонсируют релиз новой версии приложения. Информация передается в виде XML-сообщений. Пользователь может проверять обновления вручную, а может поручить это приложению, которое будет осуществлять проверки автоматически, пишет xakep.ru.

Карпович выяснил, что в случае автоматической проверки обновлений, информация часто передается через HTTP. Этим страдают такие популярные программы как Adium, Coda, iTerm, Facebook Origami, Pixelmator, SequelPro, Tunnelblick и VLC. Исследователь пишет, что, скорее всего, уязвимых приложений гораздо больше, а он протестировал только первое пришедшее на ум.

Использовав простую man-in-the-middle атаку, Карпович сумел перехватить запрос AppCast сервера об апдейте и подменил XML-сообщение вредоносным кодом. Так как Sparkle Updater использует для обработки информации в XML-файлах компонент WebView, исследователь сумел добиться от удаленной машины исполнения произвольного кода, полученного в XML-сообщении. Теоретически, такая атака может привести к полной компрометации системы злоумышленником.

Также Карповичу удалось заставить локальную систему выделить процессу обновления куда больше памяти, чем требовалось на самом деле, что привело к возникновению квази-DoS состояния. Кроме того, исследователь смог провести XXE (XML External Entity) атаку, что дало ему доступ к некоторым локальным файлам.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июня 2025 - 20:37

Трояны Общее Лаборатория Касперского

Интерпол и Kaspersky выявили сеть стилеров — пострадали 216 тыс. человек

С января по апрель 2025 года Интерпол провёл международную операцию Secure, направленную на борьбу с вредоносными программами-стилерами в Азиатско-Тихоокеанском регионе. В операции участвовали правоохранительные органы из 26 стран.

К ней также подключились эксперты по кибербезопасности, в том числе специалисты «Лаборатории Касперского».

Главная задача — найти и заблокировать инфраструктуру, через которую распространяются стилеры: это вредоносные программы, крадущие пароли, токены, сессии браузеров и другие чувствительные данные.

Удалось отследить вредоносные серверы, физические узлы, а также пресечь активность киберпреступников в ряде стран, включая Вьетнам, Гонконг, Шри-Ланку и Науру.

«Лаборатория Касперского» предоставила технические данные о серверах управления и распространения стилеров, которые использовались злоумышленниками.

Результаты операции:

Более 30 человек арестовано, из них 18 — во Вьетнаме;
Свыше 20 тысяч подозрительных IP-адресов и доменов заблокированы;
Изъято более 40 серверов;
Уведомлено более 216 тысяч пострадавших и потенциальных жертв — им рекомендовали срочно сменить пароли, заморозить доступ к аккаунтам и проверить, не скомпрометированы ли их данные.

В Интерполе подчеркнули, что такие операции показывают, насколько важно сотрудничество между странами и экспертным сообществом. Благодаря этому удаётся быстро отслеживать вредоносную активность и защищать пользователей.

Безопасность OS X под угрозой из-за популярного фреймворка

Читайте также