Gefahr durch automatische Softwareupdates

Auf der Hackerkonferenz Defcon stellten die Sicherheitsexperten Itzik Kotler und Tomer Bitto ein neues Tool namens Ippon vor, das sie in Kürze zum Download anbieten wollen. Ippon kompromittiert die automatischen Update-Mechanismen zahlreicher Anwendungen, indem es Programmen wie Adobe Reader, Alcohol 120, Notepad++ oder Skype die Verfügbarkeit eines Updates vorgaukelt. Die der jeweiligen Applikation untergeschobene Datei enthält im Fall eines Angriffs aber kein Update, sondern einen Trojaner oder ein Rootkit.

Ein ähnliches Tool stellten im vergangen Jahr bereits zwei argentinische Programmierer vor. Im Unterschied zu Evilgrade bringt das in Python programmierte Ippon jedoch die Fähigkeit mit, als Rogue-Access-Point zu fungieren, der die Opfer als vermeintlicher Gratis-Internetzugang anlockt. In einem verdrahteten LAN muss der Angreifer per ARP-Spoofing "Man in the Middle" spielen.

Um passend auf die Suchanfrage nach Updates der einzelnen Anwendungen zu reagieren, bringt Ippon eine kleine Datenbank mit, in der unter anderem die Internet-Adressen stehen, unter denen die Applikationen nach Updates suchen. Stellt Ippon einen Zugriff auf eine solche Adresse fest, unterbricht es die Verbindung und kommuniziert selbst mit der Anwendung. Da die Datenbank als XML-Datei vorliegt, können sie Ippon-Nutzer selber um neue Anwendungen erweitern.

Schutz vor einer solchen Attacke bieten ordentliche HTTPS-Verschlüsselung und digital signierte Updates. Beispielsweise Firefox-Updates sind daher nicht mit Ippon angreifbar. Auch bei dem Microsoft-eigenen Updatemechanismus "Windows Update" mussten die Experten passen. Microsoft hat diesen Dienst offenbar durch diverse Schutzmechanismen und Verschlüsselungsverfahren abgesichert, sodass es nicht möglich sei, Windows ein bösartiges Update unterzuschieben. (Uli Ries) (cr)