Újra OS X-es malware-t terjesztettek a Transmission bittorrent klienssel

Titkosítás, biztonság, privát szféra

Körülbelül 5 hónappal ezelőtt került a nyílt forrású Transmission bittorrent kliens a biztonsággal foglalkozó weboldalak szalagcímeibe azzal, hogy hivatalos weboldala ransomware-rel fertőzött OS X-es telepítőt kínált letöltésre. A feltételezések szerint akkor illetékteleneknek sikerült megpiszkálni a 2.90-es verzió OS X-es telepítőjét, ami így a KeRanger nevű ransomware terjesztéséért lett felelős.

A baki most megismétlődött, azzal a különbséggel, hogy most ransomware helyett OSX/Keydnap malware-rel fertőzött OS X-es Transmission kliens volt letölthető egy ideig a hivatalos weboldalról. Ráadásul a fertőzött alkalmazás egy legitim kulccsal aláírásra került, így sikeresen bújt át a GateKeeper ellenőrzésén.

Aki augusztus 28. és 29. közt töltötte le a Transmission OS X-es verzióját a hivatalos weboldalról, az nagy eséllyel a fertőzött verziót töltötte le. Részletek itt. A Transmission csapat FAQ-ja itt olvasható.

Egyszer nem figyeltem, valószínűleg nem oda kattintottam, ahová kellett volna. Vagy csak rosszkor voltam rossz helyen. Azóta se semmi, ismét minden rendben van vele. Az ilyet nem szokták reklámozni. Nem Ransomware volt, hanem csomó szemetet feltelepített, amiket nem volt kedvem kézzel kigyilkolni, inkább teljes reinstall a nulláról.

--
robyboy

( b | 2016. 09. 01., cs – 22:09 )

kurvajó, még szerencse hogy qbittorrenet használok. Érdekes hogy már az osx-et is támadják.

--
GPLv3-as hozzászólás.

( dcsaba v | 2016. 09. 01., cs – 23:25 )

A deb unstable csomagot valaki auditálta? Én sajnos nem érek rá :(

LOAD "http://digx.hu",8,1

( manfreed (nem ellenőrzött) | 2016. 09. 02., p – 08:45 )

OSX-ben nincs alkalmazásbolt? Miért nem onnan telepítenek az emberek, miért fejlesztők honlapjáról töltögetnek le? Nem mint ha nem volna jogos elvárás hogy a fejlesztői honlapra feltöltött cuccok megbízhatók legyenek, de hacsak nem kifejezetten egy fejlesztő rakja be a malware-t, akkor a mac store-ba feltöltött verziót már csak nem hekkelik meg.

Ha valaki meg tudta piszkálni a telepítőt, _aláírni_ és felrakni a hivatalos honlapra, akkor nem érzem azt, hogy a 3. lépés ne lehetett volna az, hogy felrakja az app store-ba...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Ami App Store iranybol jott, az elegge korlatozott Sand Boxban fut, bar egy torrent kliensnek pl mindenkeppen engedve van a halozati hozzaferes, de pl a Documents vagy Applications folderedhez nem tud hozzaferni. Valamint App Store felol kozpontilag eltavolithato az app az aldozatok gepeirol.

---
Apple iMac 27"
áéíóöőúüű

Ervenyes alairast csak es kizaroalg developer tagsag mellett kapsz, itt pedig a Te dontesed, hogy az App Store-on kivuli terjesztessel irod ala az appodat, vagy feltoltod az App Storeba. Ha van ervenyes alairasod, akkor tudsz feltolteni az App Store-ba is.

---
Apple iMac 27"
áéíóöőúüű

Dehogy, barmely az OS X-ben szereplo root CA altal kiadott signing certificate-tel alairhatod az appodat.
Lasd:
https://developer.apple.com/library/mac/technotes/tn2206/_index.html#//…
"Many parts of OS X do not care about the identity of the signer. (Gatekeeper is a notable exception.) They care only whether the program is validly signed and stable. Stability is determined through the designated requirement (DR) mechanism, and does not depend on the nature of the certificate authority used. The keychain system and parental controls are examples of such usage. Self-signed identities and homemade certificate authorities (CA) work by default for this case. Other parts of OS X constrain acceptable signatures to only those drawn from certificate authorities that are trusted on the system performing the validation. For those checks, the nature of the identity certificate used does matter. The Application Firewall is one example of this usage. Self-signed identities and self-created CA will not be verified as being valid for this check unless the verifying system has been told to trust them for Application Firewall purposes."

Az mas, hogy Mac Store-ba valoban csak az Apple altal kiadott signing certificate-tel irhatsz ala. De ennek semmi koze a kodalairashoz.

Alkalmazasok elinditasahoz a Gatekeeper-en is at kell mennie az alkalmazasodnak. Alapesetben (10.12 elott) csak azon appok mennek at ezen, amelyek rendelkeznek Apple Developer alairassal. Sierratol viszont ez az opcio is lekerul az UI-rol. A Transmission rendelkezik Apple Developer alairassal, es a malwares verzio is rendelkezett (sajnos).

---
Apple iMac 27"
áéíóöőúüű

( Gyuszk v | 2016. 09. 02., p – 10:52 )

Annyira szánalmas hogy 2016ban letöltjük a setup exéket és feltelepitjük. Legyen az bármi.
Látjuk, hogy mennyire gyakori a behatolás az ilyesmi oldalakra.
A transmission szerencsére normális rendszerekben elérhető digitálisan aláirt, ellenőrzött csomagból.

--
arch,debian,osmc,android,windows

( medve540 | 2016. 09. 02., p – 13:49 )

Többek közt azért is tetszik a Guix csomagkezelő, mert lehetővé teszi, hogy ellenőrizze bárki, hogy a csomag, amit a szerverek terjesztenek az eredeti forrásból lettek-e felépítve. Lásd https://www.gnu.org/software/guix/manual/html_node/Invoking-guix-challe…
Ezen felől bármelyik csomag telepítésénél megadható a --no-substitutes kapcsoló, amivel a helyi gépen rakja össze a csomagot forrásból. Illetve a már telepített csomagokat is lehet ellenőrizni, hogy eredetiek-e. Lásd https://www.gnu.org/software/guix/manual/html_node/Substitutes.html
Csak az kellene, hogy végre kiadják az 1.0-ás verziót és legyen olyan disztro, ami elkezdi használni.