iTunes stond 3 jaar open voor overheids-Trojan
Een minstens drie jaar open staand gat in iTunes is actief misbruikt door spionagesoftware voor overheden. Die Britse tool is onder meer opgedoken in Egypte, waar burgers zijn afgeluisterd.
Apple heeft dit lek, drie jaar na melding ervan, deze maand pas gedicht. Daarbij is de ontdekker uit 2008 erkend voor zijn vondst. Webwereld heeft toen gelijk al gemeld dat dit beveiligingsgat in 2008 is onthuld, compleet met exploittools ervoor. Duidelijk is nu dat dit iTunes-gat ook echt is misbruikt, door spionagesoftware voor overheden.
Black hat-skills
De FinFisher-Trojan van Gamma International heeft zichzelf als update voor iTunes vermomd om binnen te komen op pc's. De Wall Street Journal belicht deze Britse tool in een serie over surveillancesoftware. Leverancier Gamme is volgens de Amerikaanse zakenkrant “één van drie bedrijven die hun skill aanprijzen in technieken die normaliter gebruikt worden voor 'black hat hacking', het soort van insluiping dat criminelen gebruiken om financiële gegevens van gebruikers te stelen".
Het bestaan van deze Trojan is in maart dit jaar al naar buiten gekomen toen Egyptische opstandelingen het hoofdkwartier van de geheime dienst veroverden. Daarbij zijn offertes aangetroffen voor deze spionagetool, die speciaal is gemaakt voor overheden. Concreet bewijs dat de software is aangeschaft en gebruikt door het Egyptische regime, is toen niet gevonden.
iTunes en meer
Het misbruikte beveiligingsgat is niet alleen van toepassing op iTunes, heeft de ontdekker in 2008 al openlijk aangegeven. Veelgebruikte programma's als WinZip, Java, OpenOffice, NotePad++ en meer zijn of waren ook te misbruiken. FinFisher wordt in brochures ook aangeprezen met die mogelijkheden: het komt binnen “als nep-update voor populaire software van Apple, Adobe en anderen".
Halverwege dit jaar heeft Apple gemeld dat er wereldwijd 250 miljoen iTunes-installaties zijn. Apple heeft bij het dichten van het gat al gemeld dat het risico eigenlijk alleen geldt voor Windows-gebruikers van zijn muzieksoftware. Het eigen besturingssysteem Mac OS X loopt geen gevaar.
OS X veilig, Windows niet
Een malafide update voor iTunes biedt zichzelf namelijk aan via een browserlink, in plaats van via Apple's updatetool. OS X heeft die software-updater ingebouwd en gebruikt het als enige optie. De beveiligde verbindingen die de Apple Software Update-tool gebruikt, voorkomen misbruik van het lek, aldus Apple in het supportdocument voor de fix.
Video-item van de Wall Street Journal over overheidshacken en -Trojans: