Ransomware op Windows door kwetsbaarheid in iCloud en iTunes

Door: Dennis Hoogeveen - 4 reacties
Ransomware
Bron: EPA / RITCHIE B. TONGO

Een kwetsbaarheid in iTunes en iCloud gaf hackers de kans om ransomware op Windows-computers te installeren. Ransomware vergrendelt alle bestanden op je computer, en geeft die pas weer nadat je een aanzienlijk bedrag betaalt aan de aanvaller. Virusscanners hadden niets door wanneer aanvallers de bug misbruikten.

De zero-day kwetsbaarheid werd ontdekt door beveiligingsbedrijf Morphisec. Het probleem zit in de Bonjour-updater. Gebruikers van iTunes en iCloud op Windows installeren het kleine programmaatje automatisch samen met de software van Apple. Het stukje software zorgt er kort gezegd voor dat netwerken met elkaar kunnen communiceren, en is benodigd om iTunes en iCloud te laten werken.

Ransomware via iTunes en iCloud

Ransomware drong via iTunes en iCloud systemen door dankzij een zogeheten ‘unquoted service path‘. Daarbij is de ontwikkelaar vergeten een locatie van een bestand tussen aanhalingstekens te plaatsen. Omdat software van Apple digitaal is ondertekend en een vertrouwde status heeft op Windows, konden aanvallers de bug misbruiken zonder dat virusscanners daar lucht van kregen. Kwaadwillenden konden daardoor allerlei programma’s en acties ongemerkt uitvoeren.

iTunes in oude dagen kwetsbaar ransomware
iTunes in oude gedaante.  Bron: ANP / Marco de Swart

Dit probleem zou overigens niet mogen voorkomen. De bug is al jarenlang bekend onder ontwikkelaars en uitstekend gedocumenteerd. Het is dan ook een raadsel waarom zo’n groot bedrijf als Apple de code van zijn programma’s kennelijk niet op orde had waardoor ransomware kon binnendringen. Apple heeft inmiddels een update uitgebracht die de problemen verhelpt. Gebruikers van Mac hoeven niet te wachten op een update, alleen Windows is getroffen door het lek.

Ook na verwijderen kwetsbaar

Saillant detail is dat gebruikers van iTunes en iCloud die de programma’s weer van hun Windows-systeem hebben verwijderd, nog steeds kwetsbaar zijn. De bonjour-module wordt namelijk niet automatisch verwijderd wanneer je iTunes en iCloud van Windows van je computer af gooit. Volgens de beveiligingsexperts is de Bonjour update op talloze computers ge√Įnstalleerd, vermoedelijk zonder dat de gebruikers dat zelf weten.

Overigens kunnen Windows-gebruikers, anders dan Mac-klanten, voorlopig nog geen afscheid nemen van iTunes. De aparte apps Muziek, Podcasts en TV zijn nog niet gepland voor de PC’s. Jaarlijks worden steeds meer mensen slachtoffer van ransomware. Het risico is kleiner bij gebruikers van Mac, al kun je ook daar stappen nemen om het te voorkomen.

Reacties

4 reacties
  • Profielfoto
    pruus

    Foei Apple, foei.

  • Profielfoto
    Night

    Inderdaad: een behoorlijk knauw op het blazoen van Apple.

  • Profielfoto
    computer space

    Kan ik Bonjour gewoon uit apps verwijderen?

  • Profielfoto
    XP

    Het zal ook niet door Apple troep komen.