iTunes-gat uit 2008 gedicht

Door: Jasper Bakker | 15 november 2011 11:11

Apple

De nieuwste iTunes-versie brengt naast Apple's clouddienst Match ook een fix voor een kritiek beveiligingsgat. Via dat gat zijn nep-updates te pushen naar pc's en Macs.

Versie 10.5.1 van iTunes is vanaf maandagavond te downloaden. Apple dicht ook een kritiek beveiligingsgat dat drie jaar geleden werd onthuld. Security-onderzoeker Francisco Amato ontdekte in juli 2008 dat iTunes (toen nog versie 6) de echtheid van updates niet goed controleert. Dat maakt het voor kwaadwillenden mogelijk om via een zogeheten man-in-the-middle aanval eigen software als authentieke iTunes-update door te geven.

Gevaar voor Windows-gebruikers

Apple stelt in de huidige release notes dat het gevaar hiervan vooral geldt voor Windows-gebruikers die de Software Update-tool van Apple niet geïnstalleerd hebben, meldt Webwereld's zustersite Computerworld.com. Als die updater niet aanwezig is op een pc levert de updatecontrole door iTunes een http-link op die de gebruiker dan opent met zijn reguliere webbrowser. Zo'n link kan leiden naar nepupdates die afkomstig lijken van Apple.

Mac OS X updates lopen niet via de browser aangezien dat besturingssysteem Apple's update-tool standaard heeft ingebouwd. De iTunes-maker stelt in het supportdocument voor deze fix dat het risico is beperkt doordat de update-controle wordt uitgevoerd via een beveiligde verbinding. De doorgevoerde wijziging “voegt aanvullende, diepgaande verdediging toe".

Exploittool allang beschikbaar

Voor succesvol misbruik van dit lek moeten aanvallers ook het DNS-verkeer van hun aanstaande slachtoffers omleiden. Dergelijke malafide omleiding vindt in de praktijk al plaats. De FBI heeft deze week - samen met de Nederlandse politie - een internationale malwarebende opgerold die al jaren DNS-omleiding heeft ingezet.

Bovendien heeft Amato de misbruikmogelijkheden van zijn lek in 2008 al gedemonstreerd. De Argentijnse security-expert heeft daarvoor een eigen tool ontwikkeld en DNS cache poisoning gebruikt. De open source evilgrade-tool is bovendien voorzien van insteekmodules waarmee nepupdates zijn te verspreiden voor een hele reeks applicaties.

Dit omvat naast iTunes ook Java, WinZip, Winamp, de LinkedIn-toolbar, NotePad++ en OpenOffice.org. Het oorspronkelijke evilgrade 1.0 is sinds 2008 nog wel bijgewerkt tot versie 2.0. Die versie heeft een langere lijst aan modules. Daarin zijn sommige applicaties, zoals WinZip en OpenOffice, inmiddels afgevallen.

Muziekcloud Apple

Naast een fix voor dit beveiligingsgat brengt iTunes 10.5.1 ook de clouddienst iTunes Match. Het gaat om een muziekstreamer die vooralsnog alleen beschikbaar voor Amerikaanse gebruikers. Zij kunnen voor 25 dollar per jaar hun muziekcollectie via Apple's cloud afluisteren op maximaal tien iPhones, iPads en computers.

De muziek kan afkomstig zijn van geripte cd's of van andere bronnen. Het hoeft in principe niet geüpload te worden naar de iCloud, want Apple vergelijkt de collectie op doublures met de 18 miljoen nummers die het al in zijn iTunes Music Store heeft staan. Concurrerende muziekdiensten zoals die van Amazon en Google vereisen vooralsnog wel massale uploads.