Ventet tre år med å fjerne iTunes-sårbarhet

Sikkerhetshull åpnet for installasjon av falske oppdateringer.

Apple kom i for et par uker siden med en sikkerhetsoppdatering til iTunes 10.5 hvor det ble fjernet en sårbarhet som skal ha gjort det mulig for en man-in-the-middle-angriper å tilby programvare som tilsynelatende stammer fra Apple.

Nå viser det seg at Apple ble gjort kjent med denne sårbarheten, som etter alt å dømme bare berører Windows-utgaven av iTunes, allerede i 2008. Da ble nemlig selskapet varslet om dette av Francisco Amato i Infobyte Security Research. Dette skriver sikkerhetsbloggeren Brian Krebs.

Sårbarheten har blant annet blitt knyttet til FinFisher, en trojaner som skal ha blitt tilbudt myndighetene i blant annet Egypt og Tyskland for å utføre overvåke pc-er og mobiltelefoner. I reklamen for FinFisher heter det at den kan spres ved å være «forkledd» som en oppdatering til Apples iTunes.

Amato skal på sin side ha oppdaget sikkerhetshullet ved hjelp av «Evilgrade», et penetreringsverktøy som han har utviklet. Amato forteller til Krebs at iTunes-programmet sjekker at oppdateringen er signert av Apple, men at det er mulig å injisere innhold inn i en beskrivelse som vises i en nettleser. Dette innholdet vil kunne få brukeren til å installere en ondsinnet binærfil som brukeren tror stammer fra Apple.

Apple skriver selv at iTunes periodevis ser etter programvareoppdateringer ved å brukere en HTTP-spørring til selskapets server. Dersom en slik oppdatering er tilgjengelig, vil iTunes varsle brukeren om dette. Dersom Apple Software Update for Windows ikke er installert på maskinen, vil en webside bli åpnet i en nettleser dersom brukeren klikker på knappen i iTunes for å laste ned oppdateringen.

Angriperen må på et eller annet vis få kontroll over i alle fall DNS-tjenesten som brukeren benytter. Krebs nevner blant annet at det er enkelt nok å sette opp en midlertidig, åpen WLAN-sone, for eksempel på en flyplass, som brukere av bærbare pc-er kanskje velger for å få nettilgang.

Selv om det var en del faktorer som må være til stede for at utnyttelse av sikkerhetshullet i oppdateringsfunksjonen i iTunes skulle kunne lykkes, sier Mikko Hypponen, forskningssjef i finske F-Secure, til Krebs at han mener at Apple har brukt oppsiktsvekkende lang tid på å fjerne hullet.

Amato forteller at han ikke hørte noe fra Apple i perioden fra selskapet bekreftet å ha mottatt den første rapporten den 11. juli 2008, før selskapet tok kontakt i slutten av oktober i år for å få bekreftet navnet og tittelen hans, slik at de kunne kreditere ham for funnet av sårbarheten.

Apple skal ikke ha svart på Krebs' henvendelse i forbindelse med denne saken.

Krebs mener det denne historien først og fremst forteller, er at programvareoppdateringer bør lastes ned, så langt det er mulig, fra nettverk man selv stoler på og kontrollerer.

    Les også:

Til toppen