Attenti ad HandBrake!

Più che un post questa è una vera e propria comunicazione di servizio.

Gli sviluppatori di HandBrake, quello che è probabilmente il miglior convertitore video per il Mac (e non solo), si sono accorti che uno dei loro server è stato compromesso e che le copie di HandBrake scaricate fra il 2 e il 6 maggio potrebbero contenere un cavallo di Troia (trojan horse), cioè un codice maligno capace ad esempio di intercettare quello che si scrive con la tastiera o, nei casi estremi, persino di prendere il controllo del Mac.

Controllare HandBrake

Chi avesse scaricato ed installato HandBrake nei giorni critici deve controllare che che in Monitoraggio attività non compaia il processo activity_agent e che il checksum del file HandBrake-1.0.7.dmg non corrisponda a quelli riportati qui.

Ricordo che il programma Monitoraggio Attività si trova nella cartella Applicazioni > Utility, mentre per calcolare il checksum del file HandBrake-1.0.7.dmg (che supponiamo sia nella cartella Downloads) basta lanciare il Terminale (si trova anch’esso in Applicazioni > Utility) ed eseguire i comandi

$ cd Downloads
$ shasum -a 1 HandBrake-1.0.7.dmg && shasum -a 256 HandBrake-1.0.7.dmg

L’esecuzione del comando shasum su una copia legittima di HandBrake produce in risposta

6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9  HandBrake-1.0.7.dmg
3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2  HandBrake-1.0.7.dmg

mentre le copie maligne di HandBrake riportano dei valori completamente diversi.

Rimuovere HandBrake

Per rimuovere la versione corrotta di HandBrake insieme al suo trojan, bisogna eseguire dal Terminale i comandi seguenti (esattamente come sono scritti!):

$ launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
$ rm -rf ~/Library/RenderFiles/activity_agent.app

Inoltre, se il comando

$ ls -al ~/Library/VideoFrameworks/

riporta l’esistenza di un file proton.zip, bisogna rimuovere anche questo file insieme alla cartella che lo contiene con

$ rm -rf ~/Library/VideoFrameworks/

Fatto questo si può rimuovere HandBrake dal Mac trascinando l’icona dell’applicazione nel cestino oppure usando un programma di disinstallazione come AppCleaner o simili.

È opportuno anche riavviare il Mac, in modo da essere sicuri di rimuovere il programma activity_agent dalla memoria.

Infine, per maggiore sicurezza gli sviluppatori di HandBrake consigliano anche di modificare tutte le password salvate nel Portachiavi del Mac o nel browser. E questa è veramente una bella, grossa, seccatura!

Purtroppo sembra non ci sia più nessun freno (nemmeno a mano) a questa ondata di malware per il Mac.

Annunci
Tagged with: , , ,
Pubblicato su software
2 comments on “Attenti ad HandBrake!
  1. Paoloo ha detto:

    Era successa cosa identica con Transmission. Alla fine dovremo rivolgerci unicamente al Mac App Store?

    Mi piace

    • Sabino Maggi ha detto:

      Spero proprio di no! Ma sono convinto che si debba arrivare ad implementare un meccanismo di firma digitale delle applicazioni, che sia aperto, multi piattaforma e a costo zero (o minimo) in modo che la semplice compromissione di un sito non porti a queste conseguenze.

      Perché se Transmission è un software di nicchia (quanti utenti Mac sanno che esiste un protocollo come bittorrent?), HandBrake è più diffuso (per cui se gli sviluppatori non se ne fossero accorti subito le conseguenze della sua compromissione sarebbero potute essere ben peggiori) ma con un target ancora piuttosto ridotto. Ma pensa a cosa potrebbe succedere se la stessa cosa capitasse a software più comuni…

      Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: