Pas på falske automatiske opdateringer på åbne netværk

Sidder du på det trådløse netværk til en konference, da dialogboksen dukker op med besked om en ny opdatering til Apples iTunes, så er det en god idé at sige nej tak.

Det er nemlig muligt for andre personer på det samme netværk at kapre den automatiske opdateringsmekanisme i en række populære programmer som eksempelvis iTunes, Skype og Java.

På den måde kan et ondsindet program installeres forklædt som en opdatering, der ankommer til brugerens pc. Denne teknik anvendes i værktøjet Evilgrade, som kan kapre opdateringen af mere end 60 programmer. Det skriver it-sikkerhedsbloggeren Brian Krebs.

Angrebet forudsætter, at hackeren har adgang til netværket og kan styre, at brugerens trafik bliver sendt gennem hackerens pc. Det er dog forholdsvis enkelt på et normalt åbent netværk, som det man typisk finder på konferencer, på hoteller og i lufthavne.

Problemet skyldes, at mange softwareleverandører ikke bruger en digital signatur til at signere softwareopdateringer.

Microsoft, som udsender månedlige sikkerhedsopdateringer, bruger en krypteringsnøgle til at signere sine opdateringer, så opdateringsklienten i Windows kun tager imod opdateringer, der har den rigtige signatur.

Mange andre programmer, heriblandt flere sikkerhedsprogrammer, bruger imidlertid ingen digital signatur af filerne. Derfor skal hackeren blot narre klienten til at tro, at den fil, han sender, er en gyldig opdatering.

Da opdateringen i øvrigt foregår via den rigtige opdateringsmekanisme, så vil det for brugeren blot se ud som om, at der kommer en normal opdatering. Derfor det heller ikke vække opsigt, hvis opdateringen beder om bekræftelse på at få lov til at foretage ændringer på pc'en.

Evilgrade er designet til at kunne angribe sårbare opdateringsmekanismer, uanset hvilken platform det sårbare program kører på. Det forudsætter blot, at hackeren laver en programpakke, der er beregnet til at køre på brugerens platform.