Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties

De Messages-dienst voor OS X bevatte een kwetsbaarheid, waardoor het mogelijk was om de gehele bestands- en gespreksgeschiedenis van een gebruiker te bemachtigen door deze op een link te laten klikken. Apple heeft in maart een patch verspreid om het lek te dichten.

De kwetsbaarheid, die het nummer cve-2016-1764 toegewezen heeft gekregen, was mogelijk doordat Messages gebruikmaakt van een embedded versie van de WebKit-engine. Daarnaast rendert de dienst elke uri als een selecteerbare html-link, zo schrijven de beveiligingsonderzoekers van Bishop Fox. Doordat er geen lijst met toegestane protocollen in Messages aanwezig is, kon een aanvaller een kwaadaardige javascript-link naar het slachtoffer sturen, zoals in de video hieronder wordt gedemonstreerd. Daardoor was een potentiële aanvaller in staat om javascript-code uit te voeren.

Omdat Messages geen same-origin policy hanteert konden er met een kwaadaardig script via een XHR GET-verzoek bepaalde bestanden opgevraagd worden. Om de bestands- en gespreksgeschiedenis van een gebruiker te bemachtigen was het wel nodig om de gebruikersnaam te achterhalen, waaronder deze in OS X is geregistreerd. Aan de hand daarvan kon de aanvaller het volledige pad naar de chat-database te genereren. Volgens de onderzoekers was dit echter geen probleem, omdat de ingelogde gebruiker eenvoudig opgevraagd kon worden vanuit de OS X-applicatie-sandbox. Op die manier was het mogelijk om de volledige bestands- en gespreksgeschiedenis naar een zelfgekozen server te sturen.

Als het automatisch doorsturen van sms-berichten was ingeschakeld kon door deze xss-aanval ook de geschiedenis van een iPhone achterhaald worden. Het was niet mogelijk om bijvoorbeeld malware via deze manier te installeren. De code van de bijbehorende exploit is door de onderzoekers beschikbaar gesteld op GitHub en er zouden geen aanwijzingen zijn dat de kwetsbaarheid daadwerkelijk door kwaadwillenden is gebruikt.

Moderatie-faq Wijzig weergave

Reacties (20)

Tja, als je zomaar op links van onbekenden klikt die ook nog eens beginnen met "javascript://"...
Geloof me. Hoe vaak ik wel niet facebook like berichten krijg van mensen die mee doen met de zoveelste "Like me and win this car " acties.

Gewoon te dom om te poepen de reacties eronder. Het top punt was 2 weken geleden waarbij letterlijk boven aan de facebook pagina stond FAKE en dat meer dan 10.000 mensen de pagina hadden 'geliked ' om die villa te winnen... Dus het verbaast mij echt niets als men op zo een link klikt zonder na te denken.

En je kan short links gebruiken om het maskeren.

[Reactie gewijzigd door innerchild op 8 april 2016 19:57]

Een short link gebruikt een externe dienst om je te redirecten. Dan is het hele javascript (client-side) effect al weg.
Dat ligt aan de implementatie van de applicatie. Ik heb zeker applicaties gezien waar links op zo'n manier afgehandeld werden dat ook een javascript: URL na een 301 gewoon in de huidige browser-context geladen werd.

EDIT: Ter volledigheid, deze maakten op de achtergrond een HTTP request, volgden dan de redirects, en laadden de "eindbestemming" in de huidige browser-context. Vraag me niet waarom.

[Reactie gewijzigd door svenslootweg op 9 april 2016 15:34]

Iedereen heeft zijn prijs om op verdachte links te klikken. De een voor een leuke foto, de ander voor gratis software en weer anderen voor grote prijzen. Er wordt simpelweg heel wat geklikt.
geloof me, ik heb stommere dingen gezien waar mensen in trappen. De gemiddelde tweaker waarschijnlijk niet, maar er zijn genoeg mensen die niet weten wat javascript is. Deze zullen er makkelijk in trappen.
"Hey de tekst is blauw! Ik kan er op klikken! Ben zo nieuwsgierig, wat zal het zijn; een leuke video van de kat die in de gordijnen hangt? Of een foto van de kleine man die z'n hele gezicht onder het eten heeft? Ik ga maar gauw klikken, ik kan de spanning niet aan!"

:+ zoiets?
En dan nog zou er geen probleem moeten zijn.
Geloof me, mensen klikken wel vaker op leipe links en openen rare attachments of gaan in op phising email!

(Sorry, wilde ook ff een "geloof me" post maken :P)
Geloof me.

Sommige trucs zijn ontzettend gehaaid!

Daarnaast, als 10.000 andere mensen al geklikt hebben. Die zijn toch nooit allemaal zo stom?!

(Niemand is zo stom, als wij allemaal samen!)

[Reactie gewijzigd door Keypunchie op 8 april 2016 20:55]

Mee eens. Nu staan er nog typefouten in besmette mails, maar dat is slechts een kwestie van tijd.

Stom is als je iets doet tegen beter weten in. Deze 10.000 weten het niet.

We moeten er voor zorgen dat internet veiliger wordt. Maar dan wel zonder verlies van onze basale mensenrechten (privacy).
Tja, je zou ook denken dat mensen niet zomaar een factuur van een onbekende bron, in een zip bestand, wat een word document is, die vraagt om de macro's aan te zetten zou openen toch?
Vreemd Same-Origin niet aan staat/stond. Standaard instelling van een web view ofzo?
Omdat webviews doorgaans gebruikt worden voor non-browser applicaties, staat SOP in de meeste embedded renderers inderdaad standaard uit. Dit maakt het mogelijk om direct vanuit de applicatie-code (in JS) te praten met externe servers die geen same-origin headers meesturen, zoals een 'reguliere' (bijv. C++) applicatie dat zou kunnen doen.

Helaas betekent dat ook dat geinjecteerde code hetzelfde kan doen, aangezien alles in dezelfde context draait.
Ik zou dan een breaking upgrade maken die CORS vereist bij de externe servers voor webview access. Maargoed, dat kan je als OS bouwer niet zomaar doen ;) gaan vast weer 2 deprecation cycles overheen.
Grappig om te zien dat de link ook daadwerkelijk begint met facebook.com. Je zou er op het eerste gezicht voor kunnen vallen. De javascript: verraadt het dan weer wel...
Kunnen we er van uit gaan dat het lek in OS X 10.11.4 gedicht is?
Geen oninteressante reactie, echter geen antwoord op mijn vraag.

Waar kan ik meer lezen over de door jou gestelde beweringen, ben namelijk wel geļnteresseerd.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True