Didelė dalis OS X aplikacijų kelia pavojų Mac kompiuterių vartotojams
Naujas aptiktas „Sparkle“ pažeidžiamumas gali tapti įsilaužimo į didelę dalį Mac kompiuterių priežastimi.
Praeitą savaitę programuotojas Radek savo žiniaraštyje paskelbė straipsnį, kad aptiko keistą Mac OS X paslaptį. Atlikdamas tyrinėjimus, jis aptiko, kad „Sparkle“ atnaujinimų sistema naudojama eilėje populiarių, ne per Mac „App Store“ atsisiunčiamų aplikacijų, tokių kaip: „VLC“ media player, „µTorrent“, „Camtasia“ ir t.t. nenaudoja saugaus HTTPS[1] protokolo ir vietoje jo naudoja daug labiau pažeidžiamą HTTP[1].
Naudojant nešifruotą duomenų perdavimą suteikiama galimybė programišiams pasinaudoti tokių susijungimų nesaugumu tarp vartotojo ir serverio bei panaudoti MiM[2] ir nuotoliniu būdu atlikti komandas leidžiančių tipų atakas. Žinant kaip „Sparkle“ leidžia „JavaScript“ paleidimą darbui su WebKit - tiek OS X El Capitan, tiek ir jaudinantys OS X Yosemite patenka į potencialią rizikos grupę.
Jei įdomu, kaip tokia ataka gali atrodyti ar niekada neteko vienaip ar kitaip dalyvauti tokiose atakose - Radek nepagailėjo savo laiko ir nufilmavo trumputį video, kuriame vaizdžiai parodo kaip veikia tas „žvėris“.
Kitas gudragalvis „saugumo ekspertas“ - Simone Margaritelli, papildė Radek atradimą išsamia ir paprasta suprasti instrukcija aprašydamas kaip atlikti ataką išnaudojant „Metasploit“[3] framework’ą. Savo pavyzdyje jis naudoja vieną populiaresnių (tačiau nebūtinai geriausią Mac kompiuteriams) „VLC media player“ aplikaciją.
Nėra aišku kiek aplikacijų gali būti pažeidžiamos šio Radek’o atradimo, tačiau reikia manyti, kad jų yra tikrai labai daug. Iš žinomų, tai „Camtasia 2“ v2.10.4, „DuetDisplay“ v1.5.2.4, „µTorrent“ v1.8.7, „Sketch“ v3.5.1 ir kompiuterių teismo ekspertas Jonathan Zdziarski sąrašą papildė „DXO Optics Pro“, kurią „reversinžinerinus“ „Hopper“ įsilaužimo įrankio pagalba taip pat galima padaryti silpnąja grandimi vartotojų kompiuteriuose.
Aplikacijų sąrašas iš ties ilgas, tačiau kokios aplikacijos, kurios naudoja „Sparkle“ yra įdiegtos kiekvieno jūsų kompiuteryje galite patikrinti paprastos komandos „Terminal“ aplikacijoje.
find /Applications -name Sparkle.framework
Lyg to būtų negana, Radek rašo, kad egzistuoja ir dar vienas „Sparkle“ pažeidžiamumas, tiesa gal kiek mažesnės svarbos. Jį galima išnaudoti pakeičiant standartinį atnaujinimo failą kuo nors labiau kenksmingu ir tai gali būti panaudota nusitaikius į atnaujinimų serverius.
Nors yra sprendimas abiems pažeidžiamumas, nei vienas jų nėra visiškai paprastas. Zdziarski praneša, kad yra programuotojų, kuriems nepasiseka savo aplikacijų atnaujinimams naudojamų serverių priversti dirbti per HTTPS, nors didesnei daliai tai padaryti pasiseka.
Kol kas nėra žinoma atvejų, kad kas nors būtų tokiu būdu nukentėjęs, bet kaip rodo praktika – iki atsiranda bent pabandymų pasinaudoti tokiomis saugumo skylėmis – ilgai laukti nereikia.
Reikėtų paminėti, kad lietuvaičių sukurta „Pixelmator“ aplikacija „Sparkle“ framework’ą nustojo naudoti dar 2011 metais ir todėl ši saugumo spraga jos neliečia.
- HTTPS - dar kartais vadinamas HTTP per TLS, HTTP naudojant SSL, ir HTTP Secure (saugus) tai saugus kompiuterinio tinklo duomenų perdavimo plačiai naudojamas Internete. HTTPS susideda iš duomenų perdavimo per HTTP (Hypertext Transfer Protocol) kai susijungimas yra šifruojamas „Transport Layer Security“ ar jo pirmtako „Secure Sockets Layer“ pagalba. ↩
- MiM ataka (angl. man-in-the-middle attack) arba MITM, MitM, MIM ar MITMA - kalbant apie kompiuterių saugimą ar kriptografiją tai atakai kai programišius įsikiša į duomenų tarp dviejų taškų komunikavimą. ↩
- Metasploit - programinė įranga skirta patikrinti sistemas jų atsparumui įsilaužimams. ↩
O žmonių kalba - kuo paprastam vartotoui iš Lietuvos gali baigtis, jei bus pasinaudota jo kompiuteriu šio viruso (bugo) pagalba?
Jei „užsirauti“ ant tokios aplikacijos, kurią nutars „parakinėti“ programišius - priklauso nuo jo fantazijos.