ICQ lässt sich präparierte Updates unterschieben

Weil ICQ die Echtheit von aus dem Netz nachgeladenen Updates nicht verifiziert, lassen sich die Aktualisierungen durch Trojaner ersetzen. Allerdings muss ein Angreifer dazu die Auflösung der IP-Adresse des Servernamens update.icq.com auf seinen eigenen Server verbiegen – etwa durch die Manipulation des Routers oder Cache-Poisoning des DNS-Servers.

ICQ sucht kurz nach der Installation nach Updates und lädt diese nach. Da die Updates weder über eine gesicherte SSL-Verbindung mit Zertifikatsprüfung erfolgt, noch die Updates selbst signiert sind, kann man dem Messenger eigene Dateien unterschieben. Der Entdecker des Problems Daniel Seither hat zwei Tools in Python geschrieben, mit dem sich das Problem nachvollziehen lässt.

Das erste Tool baut aus einer beliebigen Exe-Datei eine Zip-Datei und eine Metadatei update.xml, in der Infos zum Update enthalten sind. Ein simpler Python-Webserver liefert die Dateien dann (nach Manipulation des DNS) an den Messenger aus, der das vermeintliche Update unter dem Namen icq.exe installiert.

Im Test von heise Security mit dem Windows-Taschenrechner calc.exe öffnete sich beim Start von ICQ anschließend dann statt des Messengers der Taschenrechner. Angreifer können statt des Taschenrechners Trojaner ausliefern. Seither hat den Hersteller nach eigenen Angaben informiert, dieser bislang jedoch nicht reagiert. Immerhin hat das US-CERT eine Warnung zu dem Problem veröffentlicht.

Seither rät Anwendern bis zur Behebung des Problems, auf ICQ zu verzichten und einen anderen Messenger zu benutzen, da sich die automatischen Updates nicht abstellen lassen. Grundsätzlich betrifft das Problem fehlender digitaler Signaturen für Updates viele weitere Produkte. (dab)