Gefährliche Lücke im Auto-Updater von ICQ

Wie ein Informatik-Student aus Darmstadt herausgefunden hat, verbirgt sich hinter der Auto-Update-funktion des Instant-Messanging-Programmes ICQ eine fahrlässige Sicherheitslücke: Die Software überprüft die eingespielten Updates nicht auf ihre Echtheit und gefährdet damit die Rechner der Nutzer und ihre Daten.

Software, die nicht sorgfältig genug prüft, woher ihre Updates stammen, gibt es wahrscheinlich jede Menge. So musste etwa das BSI die AusweisApp für den neuen Personalausweis aus diesem Grund überarbeiten lassen. Jetzt hat ein Informatik-Student der TH Darmstadt eine solche Update-Schwachstelle im Instant Messenger ICQ aufgedeckt.

Wie Daniel Seither in seinem Blog berichtet, lädt ICQ 7 bis einschließlich der aktuellen Windows-Version 7.2.3525 automatische Updates aus dem Internet, ohne die Authentizität der Aktualisierungen zu überprüfen. Eine solche Prüfung könnte etwa mit digitalen Signaturen für die Dateien oder mit einem SSL-Zertifikat für den Update-Server erfolgen.

Ein Angreifer könnte durch DNS-Manipulationen (DNS-Spoofing) die URL des Update-Servers auf eine andere IP-Adresse umlenken. Mit einem von dort ausgelieferten, manipulierten Update könnte er Malware einschleusen, die ICQ dann installieren würde.

ICQ prüft beim Programmstart automatisch, ob Updates verfügbar sind. Dieses Verhalten lässt sich auch nicht abschalten. Daniel Seither hat einen einfachen Demo-Exploit bereit gestellt, der aus zwei Python-Scripts besteht. Eines generiert die Update-Datei, das andere dient als Web-Server.

Eine Reaktion von Seiten des ICQ-Herstellers ist bislang nicht bekannt. Das US-CERT (Computer Emergency Response Team) hat deshalb eine Sicherheitswarnung veröffentlicht.