Nieuw lek maakt OS X-apps kwetsbaar

Door: Raymon Mens - 16 reacties

Onderzoekers hebben een nieuw lek in OS X gevonden waardoor aanvallers via legitieme apps kwaadaardige code kunnen uitvoeren. Het gaat om een groot aantal standaard Apple-apps als iWork en iMovie, maar ook Mac-apps van derden als Dropbox en Microsoft Office.

Deze apps zoeken naar dylib-bestanden, dat zijn bibliotheken met functies die door meerdere apps gebruikt kunnen worden. Als deze niet gevonden worden, blijven de programma’s toch op andere plaatsen zoeken. Hierdoor kunnen mogelijk kwaadaardige libraries ingeladen worden.

De gebruiker merkt niets van deze ingeladen libraries en gatekeeper kan een aanval niet detecteren omdat deze als onderdeel van een vertrouwde app wordt uitgevoerd.

Dreigingsniveau laag

Wie alleen software uit de Mac App Store of van vertrouwde ontwikkelaars installeert, loopt weinig risico. Het gaat bovendien om een theoretische kwetsbaarheid die tijdens een beveiligingsconferentie gepresenteerd werd. Er zijn nog geen concrete infecties bekend en software die het lek misbruikt is nog niet ‘in het wild’ gespot.

Check je Mac

Het zekere voor het onzekere? De ontdekker van het lek heeft een gratis tool beschikbaar gesteld waarmee te controleren is of apps zijn geïnfecteerd.

De scanner maakt onderscheid tussen kwetsbare (vulnerable) en geïnfecteerde (hijacked) apps. Een schone Mac heeft wel kwetsbare, maar geen geïnfecteerde apps. Onderdelen van Office 2011 voor Mac worden onterecht als geïnfecteerd aangemerkt. Zet ‘full scan’ aan.
Schermafbeelding 2015-03-23 om 10.39.06
Het is onbekend wanneer Apple met een patch komt.

Via: Tweakers.net

Reacties

16 reacties
  • Profielfoto
    Stef Oortwijn

    Ik wacht wel tot Apple met een patch komt.. wazige scannertjes heb ik het niet zo mee.

  • Profielfoto
    crazylegs

    Ik wacht wel tot Apple met een patch komt.. wazige scannertjes heb ik het niet zo mee.

    Dat is inderdaad ook mijn idee.. Wie zegt dat deze scanner helemaal koosjer is..

  • Profielfoto
    roland020

    Fijn als dan Microsoft Office als ‘vulnerable’ uit de bus komt…

  • Profielfoto
    Usain

    Hier alleen Dropbox en iPhoto, voor dropbox heb ik al een week vervanging dus die kan weg.

  • Profielfoto
    madcat

    Het is allemaal wat minder spanend dat het lijkt, om de libraries te installeren heb je het admin password nodig.
    Wees dus voorlopig voorzichtig met nieuwe applicaties installeren.

    edit:

    Zoals ik de paper lees zijn er sommige apps die ipv in de system library of applicatie library ook in de user library kijken.
    Waar niks staat en zonder melding door gaan zoeken naar andere paden waar het zou moeten staan (sloppy programming)
    Maar als er nu door een trojan daar opeens wel een geïnfecteerd bestand komt dan laden de andere applicaties die hetzelfde zoek patroon hebben ook deze geïnfecteerd library

    De volgende applicatie maken gebruik van het dynamische laden:
    iCloud Photos,Xcode,Word,Excel,Google Drive,Dropbox,Java,GPG Keychain

    Technische gezien is het net zoals alles wat al bestaat een Trojan, maar nu ook bestaande applicaties kan aantasten wat wegheeft van een virus maar toch een trojan is.
    Het advies blijft, weest voorzichtig met wat je installeert en als er een popup komt met een admin popup kijk dan goed met wat het precies wilt.

    Maar ik weet niet zeker of je hier admin rechten voor nodig heeft, (zit op het werk zonder mac) maar mag je als admin user in de /usr/lib een bestand zetten zonder dat er een popup komt?

  • Profielfoto
    Drs. P. Freubel

    Ik ben benieuwd hoe lang het duurt voor iemand deze theoretische kwetsbaarheid in de praktijk brengt en wat de risico’s zijn als het daadwerkelijk een bedreiging vormt.

  • Profielfoto
    GoeieDag

    Wie alleen software uit de Mac App Store of van vertrouwde ontwikkelaars installeert, loopt weinig risico.

    Nee, die loopt GEEN risico (vwb dit lek).

  • Profielfoto
    ln.XSOcam

    En waarom zou ik die tool vertrouwen?

  • Profielfoto
    Akoni

    Ik ga die tool ook niet downloaden, een gerenomeerde site als Mac Rumors maakt nergens melding van!

  • Profielfoto
    polansky

    Die genoemde ‘tool’ is tegelijkertijd de perfecte Trojan Horse.

    Je installeert hem zelf en geeft er ook nog eens als administrator toestemming voor om je apps te laten ‘controleren’.

    De tool is ook niet bekend in de Mac App store. Ik zou zoiets nooit vertrouwen van een niet bekende developer. Je weet niet wat je in huis haalt.

    Beter wacht je gewoon op Apple tot die een patch uitbrengen.

  • Profielfoto
    csteelooper

    (…) De tool is ook niet bekend in de Mac App store. Ik zou zoiets nooit vertrouwen (…)

    Er is wel meer dat niet bekend is in de Mac App Store, maar wel te vertrouwen is… Ook van minder bekende uitgevers. Wie kende AdwareMedic voordat de diverse sites erover schreven? Ik heb overigens verder wel begrip voor je standpunt. Wil je slachtoffer worden van dit lek, dan zul je volgens mij toch echt je apps van minder vertrouwde bron (lees: torrent-site, etc.) moeten binnenhalen. Want de software zelf is niet het probleem. Het probleem is veeleer dat de kwaadaardige .dylib’s op je systeem terecht zullen moeten komen, wil dit probleem je raken. En zolang je software dus downloadt van de site van de oorspronkelijke uitgever (of uit andere vertrouwde kanalen zoals de MAS) loop je in principe geen risico…

  • Profielfoto
    Lang Lid

    Alleen verspreidt deze developer ook allerlei malware voor OS X.

  • Profielfoto
    koen

    Hoe weet je dat?

  • Profielfoto
    Lang Lid
  • Profielfoto
    TLM

    Paranoia, bij sommige gaat het echt wel héél ver als ik een aantal reacties hier zo lees:shock:

  • Profielfoto
    snipper

    Inderdaad

    Alleen verspreidt deze developer ook allerlei malware voor OS X.

    Ja… aangekondigd, voor testdoeleinden.:roll:

    Dus Apple, MacAffee, Norton etc zijn ook niet te vertrouwen, want die houden zich ook bezig met malware, volgens deze logica.

    We zullen maar aannemen dat het grappig bedoeld is.