HandBrake per Mac usato per veicolare il malware Proton

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ton_68546.html

L'installer della versione 1.0.7 di HandBrake per Mac è stato compromesso allo scopo di installare la backdoor Proton. Chi ha scaricato il software tra il 2 e il 6 maggio ha una probabilità su due di essere stato infettato

Click sul link per visualizzare la notizia.

[insane74]

L'altro giorno ho installato Filezilla Client (preso dal sito ufficiale) e BitDefender (per Mac) mi ha "ripulito" l'installer perché aveva rilevato un malware (non sono davanti al Mac quindi non ricordo i dettagli)...

[Klontz]

questo tipo di problemi potrebbero risolverli alla radice, se tutte le app macOS venissero distribuite esclusivamente dall' AppStore.
Apple dovrebbe rivedere la sua politica economica, magari scontare notevolmente o dare gratuitamente il servizio a tutti quei sviluppatori che danno gratuitamente le proprie applicazione, vedi proprio il caso di Handbrake e Transmission.
Ne guadagnerebbe Apple in termini di sicurezza ed immagine, i clienti e gli stessi sviluppatori.

[floc]

Quote:

Originariamente inviato da insane74

L'altro giorno ho installato Filezilla Client (preso dal sito ufficiale) e BitDefender (per Mac) mi ha "ripulito" l'installer perché aveva rilevato un malware (non sono davanti al Mac quindi non ricordo i dettagli)...

ti ha ripulito qualche donationware/barra degli strumenti agganciato all'installer, succede anche con altri programmi tipo pdf creator, vede pezzi dell'installer come malevoli (di fatto lo sono, ma basta leggere durante la procedura e non installarli)

[insane74]

Quote:

Originariamente inviato da floc

ti ha ripulito qualche donationware/barra degli strumenti agganciato all'installer, succede anche con altri programmi tipo pdf creator, vede pezzi dell'installer come malevoli (di fatto lo sono, ma basta leggere durante la procedura e non installarli)

Boh, in realtà quando poi è partito l'installer la domanda per installare la "fuffa" me l'ha fatta (e ovviamente ho declinato). Non so se rispondendo di si avrebbe fatto qualcosa o meno.
Devo ricordarmi di controllare il log per vedere se capisco cosa ha trovato/ripulito, ma lo uso così poco il mio vecchio "mini"...

[thegman]

Quote:

Originariamente inviato da insane74

Boh, in realtà quando poi è partito l'installer la domanda per installare la "fuffa" me l'ha fatta (e ovviamente ho declinato). Non so se rispondendo di si avrebbe fatto qualcosa o meno.
Devo ricordarmi di controllare il log per vedere se capisco cosa ha trovato/ripulito, ma lo uso così poco il mio vecchio "mini"...

Ho sperimentato lo stesso problema mesi fa, l'installer presente su questa pagina:
https://filezilla-project.org/download.php?show_all=1
Non contiene software aggiuntivo (non bundled)
FileZilla_3.25.2_macosx-x86_setup_bundled.zip vs. FileZilla_3.25.2_macosx-x86.app.tar.bz2

[superlex]

Quote:

Originariamente inviato da thegman

Ho sperimentato lo stesso problema mesi fa, l'installer presente su questa pagina:
https://filezilla-project.org/download.php?show_all=1
Non contiene software aggiuntivo (non bundled)
FileZilla_3.25.2_macosx-x86_setup_bundled.zip vs. FileZilla_3.25.2_macosx-x86.app.tar.bz2

Vero, scaricandolo da sourceforge pare pulito.
Basta caricarlo su virustotal, al momento 23/55 lo riconoscono come infetto.

Quote:

Originariamente inviato da Klontz

questo tipo di problemi potrebbero risolverli alla radice, se tutte le app macOS venissero distribuite esclusivamente dall' AppStore.
Apple dovrebbe rivedere la sua politica economica, magari scontare notevolmente o dare gratuitamente il servizio a tutti quei sviluppatori che danno gratuitamente le proprie applicazione, vedi proprio il caso di Handbrake e Transmission.
Ne guadagnerebbe Apple in termini di sicurezza ed immagine, i clienti e gli stessi sviluppatori.

Le politiche dell'App Store però sono troppo restrittive, vedi per es. Firefox per iOS che ha dovuto cambiare motore.

Un modo carino sarebbe automatizzare la verifica tramite chiave gpg al momento dell'installazione, cosa che al momento andrebbe invece fatta a mano per verificare che il software non sia stato alterato (la verifica tramite md5 e simili non è sufficiente per tale scopo).

[thegman]

Quote:

Originariamente inviato da superlex

Vero, scaricandolo da sourceforge pare pulito.
Basta caricarlo su virustotal, al momento 23/55 lo riconoscono come infetto.


Le politiche dell'App Store però sono troppo restrittive, vedi per es. Firefox per iOS che ha dovuto cambiare motore.

Un modo carino sarebbe automatizzare la verifica tramite chiave gpg al momento dell'installazione, cosa che al momento andrebbe invece fatta a mano per verificare che il software non sia stato alterato (la verifica tramite md5 e simili non è sufficiente per tale scopo).

E' anche possibile cercare direttamente una correlazione tramite hash nella sezione "Search" del sito, particolarmente utile nel caso di analisi di file di (relativamente) grosse dimensioni, unica pecca: se il file non risulta gia' presente nel database ovviamente non si otterranno risultati e si sara' costretti a caricarlo.

Pura curiosita', perche' secondo te un metodo di verifica basato su hash non risulterebbe sufficiente? Per caso ti riferisci al recente problema sollevato da SHAttered? (https://shattered.io)

[superlex]

Quote:

Originariamente inviato da thegman

E' anche possibile cercare direttamente una correlazione tramite hash nella sezione "Search" del sito, particolarmente utile nel caso di analisi di file di (relativamente) grosse dimensioni, unica pecca: se il file non risulta gia' presente nel database ovviamente non si otterranno risultati e si sara' costretti a caricarlo.

Molto utile, peccato però che i file non possano essere troppo grandi..

Quote:

Pura curiosita', perche' secondo te un metodo di verifica basato su hash non risulterebbe sufficiente? Per caso ti riferisci al recente problema sollevato da SHAttered? (https://shattered.io)

No, quello è un extra Il fatto è che se compromettono il server possono tranquillamente cambiare l'hash, pertanto sono funzionali solo a capire se il file è stato scaricato correttamente. In teoria dovrebbero bastare le firme sviluppatore usate da Apple, ma in pratica si stanno rivelando inefficaci.

[thegman]

Quote:

Originariamente inviato da superlex

Molto utile, peccato però che i file non possano essere troppo grandi..


No, quello è un extra Il fatto è che se compromettono il server possono tranquillamente cambiare l'hash, pertanto sono funzionali solo a capire se il file è stato scaricato correttamente. In teoria dovrebbero bastare le firme sviluppatore usate da Apple, ma in pratica si stanno rivelando inefficaci.

Capito, grazie della delucidazione