Software-update een snelweg voor hackers
Het probleem schuilt volgens Kotler en Bitton in het feit dat de automatische update-software van veel toepassingen een onveilig proces gebruikt om te zoeken naar updates op de site van de leverancier. Daarvoor wordt veelal periodiek een simpele HTTP-vraag op het netwerk gezet. Voor een hacker is het een eitje om zo’n request af te vangen, en in reactie daarop een ‘update’ van eigen makelij te laten ophalen.
Shutterstock
Shutterstock
Om daarbij kans van slagen te hebben moet wel aan een belangrijke voorwaarde worden voldaan: de hacker moet op hetzelfde netwerk zitten als zijn doelwit, om ervoor te zorgen dat hij de server van de leverancier te snel af is. Dat is het eenvoudigst te realiseren bij slecht beveiligde of publiek toegankelijke WiFi-toegangspunten.
Softwareleveranciers zouden het probleem eenvoudig kunnen voorkomen door de HTTP-vraag naar eventueel beschikbare updates te versleutelen. Dat gebeurt in de praktijk lang niet altijd; kennelijk realiseren softwareontwikkelaars zich niet dat ze daarmee een kwetsbaarheid introduceren. Volgens Kotler en Bitton hebben ze al meer dan 100 programma’s gevonden die de vraag naar beschikbare updates onversleuteld op het netwerk zetten. Welke dat zijn willen ze om veiligheidsredenen niet onthullen, maar het gaat daarbij wel om veel gebruikte instantmessaging- en documentverwerkingssoftware. Kotler en Bitton willen wel kwijt dat het probleem zich niet voordoet bij Microsofts updatemechanisme: dat versleutelt de HTTP-request wel.
Kotler en Bitton raden pc-eigenaren aan nooit te updaten over onveilige netwerken, en hun software zo in te stellen dat altijd om toestemming voor het installeren van updates wordt gevraagd.
Kotler en Bitton geven binnenkort een lezing over dit probleem op de beveiligingsconferentie Defcon, van 30 juli tot 2 augustus in Las Vegas.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee