Ippon: Vorgespielte Updates beinhalten Malware

Mit "Ippon" lassen sich die Update-Mechanismen von zahlreichen Programmen manipulieren. Das Ziel davon ist es, Malware auf das System des Opfers einzuschleusen.

Vorgestellt wurde das mit Python entwickelte Werkzeug auf der diesjährigen Defcon Konferenz von den beiden Sicherheitsexperten Itzik Kotler und Tomer Bitto. Mit Ippon sollen sich diverse Update-Mechanismen an der Nase herumführen lassen. Für den Benutzer selbst entsteht der Eindruck, dass eine neue Version zum Download bereitsteht. In Wirklichkeit handelt es sich aber um keine Software-Aktualisierung, sondern um eine Infektion mit Schadcode.

Auch wenn Programme wie Skype oder der Adobe Reader vorgeben, ein Update gefunden zu haben, so muss dies nicht zwingend der Fall sein. Zumindest ist dem nicht so, wenn Ippon seine Finger im Spiel hat. Denn anstelle von einer neuen Programmversion wird dem Benutzer eine mit Schadcode ausgerüstete Datei untergeschoben. In der Regel handelt es sich dabei um einen Trojaner, ein Rootkit oder etwas Vergleichbares. Grundsätzlich bietet sich ein Angriffszenario sowohl über

WLAN, als auch über ein kabelgebundenes Netzwerk an.

Im Falle von WLAN verfügt Ippon über die Möglichkeit als ein sogenannter "Rouge-Access-Point" zu arbeiten. Hierbei soll der Benutzer durch einen vermeintlich kostenlosen Internetzugang in die Falle gelockt werden. Doch auch im herkömmlichen Kabel-Netzwerk ist eine Unterwanderung in Form von einer "Man in the middle"-Attacke denkbar.

Ippon wird schon bald mit einer umfangreichen Datenbank ausgerüstet zum Download angeboten werden. Darin befinden sich die Adressen, welche von gängigen Anwendungen im Zuge einer Update-Suche kontaktiert werden. Sollte der bisherige Umfang an Programmen nicht ausreichen, so kann das in XML vorliegende File selbst vom Benutzer erweitert werden. Sobald ein Verbindungsversuch an eine dieser Adressen festgestellt wird, unterbindet Ippon die dies und baut selbst eine Kommunikation mit der Anwendung auf. Einen ordentlichen Schutz könnte an dieser Stelle eine HTTPS-Verschlüsselung liefern. (gS-)

(via heise, thx!)

News Redaktion am Sonntag, 02.08.2009 22:23 Uhr

tags Tags: malware aktualisierung ippon itzik kotler schadcode tomer bitto defcon update

Weitere interessante News

5 Reaktionen zu dieser Nachricht

5cr4v3ng3r am 03.08.2009 16:22:48

Unsignierte Updates zu verbreiten ist nunmal eine ziemliche Dummheit. Aber sehr verbreitet... ...
nickNr5 am 03.08.2009 12:21:54

Oh je. Die ganzen blöden Scriptkiddys in den Studentenwohnheimen, die fast immer als riesiges Lan aufgebaut sind reiben sich doch jetzt schon die Hände. :( Wenn ich hier Wireshark anwerfe kann ich trotz VPN alle Verbindungen (IP von wo wohin) an meinem Netzwerkknoten sehen :dozey: ...
Toronto am 03.08.2009 10:55:05

TLS ist der Nachfolger von SSL und hat eigentlich nur einen anderen Namen. TLS wurde mit SSL Version 3.0 eingeführt, kurz darauf erschien TLS 1.0, das sich allerdings aus Kompatiblitätsgründen mit "SSL 3.1" meldet. SSL = Secure Socket Layer TLS = Transport Layer Security Der Laie versteht eh n ...
TierGottes am 03.08.2009 10:46:45

https ist aber für Laien leichter zu verstehen. deshalb sage ich es auch immer, abgesehen davon, dass ich den Unterschied zwischen ssl und TLS nicht kenne. ...
Toronto am 03.08.2009 09:00:43

Das Zeug heißt SSL bzw. TLS, eine HTTPS-Verschlüsselung gibt es nicht. ...

weitere Kommentare lesen Nachricht kommentieren

Fotostrecke

News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...