Klik hierDare IT - Uw allround ict hulp

Kodi mediaspeler kwetsbaar bij updaten add-ons

Kodi-logo-Thumbnail-light-transparentMediaspeler Kodi, voorheen beter bekend als XBMC, bevat een kwetsbaarheid die door man-in-the-middle-aanvallen misbruikt kan worden, zo heeft Bitdefender ontdekt. De kwetsbaarheid is te vinden in het updatemechanisme voor add-ons. De Kodi-developers werken inmiddels aan patches.

Bij het opstarten van Kodi controleert de software direct of er updates voor add-ons beschikbaar zijn. Als deze er zijn, worden deze opgehaald en automatisch geïnstalleerd. In dit mechanisme heeft beveiligingsbedrijf Bitdefender een probleem gevonden. Zo wordt bij het updaten uitsluitend onversleuteld http-verkeer gebruikt. Allereerst wordt de md5-hash voor addons.xml, een configuratiebestand waarin versienummers van add-ons staan, opgevraagd. Indien deze hash verschilt ten opzichte van een reeds lokaal opgeslagen md5-hash van addons.xml worden de updates opgevraagd. Op dat moment kan een man-in-the-middle aanval worden uitgevoerd door een willekeurige md5 retour te sturen. Deze wordt volgens Bitdefender zonder meer geaccepteerd door Kodi.

In een tweede stap van de aanval kan er een aangepaste addons.xml worden verstuurd waarin een add-on met een hoger versienummer is opgenomen. De aanvaller kan in deze add-on kwaadaardige code verpakken en deze, samen met een correcte md5-hash, opsturen naar het doelwit. Kodi zal deze ‘update’ automatisch installeren.

Bitdefender wist met deze aanvalswijze onder andere YouTube-inloggegevens te bemachtigen op OpenElec-systemen door een aangepaste YouTube-add-on te versturen naar een slachtoffer. Daarnaast waren de onderzoekers in staat om met een gemanipuleerde add-on voor Dropbox, Dbmc geheten, heimelijk bestanden uit een Dropbox-folder te uploaden naar een willekeurige ftp-server.

Volgens Bitdefender is de beschreven aanvalsmethode niet alleen succesvol gebleken, maar ook niet erg complex om uit te voeren. In theorie kan een complete machine worden overgenomen of een aanvaller kan gevoelige data zoals wachtwoorden bemachtigen. Het beveiligingsbedrijf stelt daarom dat ook software als Kodi gebruik moet gaan maken van versleutelde verbindingen, omdat de verstuurde informatie zich anders te gemakkelijk laat manipuleren.

Bitdefender heeft informatie over de hack met Kodi-ontwikkelaars gedeeld. Zij zouden momenteel werken aan patches, al is nog onduidelijk wanneer we deze kunnen verwachten in nieuwe builds van de populaire meidapselersoftware