Що се отнася до вашите приложения за Mac, има причина да се страхувате от така наречения мъж в средата.
Инженер по сигурността съобщава за няколко приложения, уязвими за злонамерено кодиране чрез Sparkle, приложенията на софтуерната рамка на трети страни, които използват за получаване на актуализации. Някои от идентифицираните приложения включват версии на Camtasia, VLC, uTorrent, Sketch и DuetDisplay.
Слабостта беше съобщена за първи път миналия месец в блог от инженера, който носи името Радек. Оттогава е проверен от друг изследовател, Симоне Маргерители, и бе съобщено в сряда от уебсайта на технологиите, arstechnica.
Рискът включва протокол за прехвърляне на хипер текст или HTTP. Някои разработчици на приложения са използвали HTTP за актуализиране на информация, за разлика от HTTPS. S е за защитени, което означава, че приложенията, които използват HTTPS, гарантират, че данните са криптирани. HTTP по същество е обикновен текст и не е защитен.
Радек каза, че приложенията с HTTP са отворени за MiTM или човек в средата на атаки, което означава, че кодът може да бъде тайно манипулиран, докато трафикът преминава между краен потребител и сървър.
„Рамката на Sparkle Updater по своята същност е безопасна и лесна за използване“, каза Радек в своя блог. „Разработчиците, които включват Sparkle в своите проекти, просто нарушиха едно просто правило: не зададоха HTTPS навсякъде.“
Добрата новина е, че най -новата версия на Sparkle използва само HTTPS канали. Лошата новина е, че разработчиците имат много работа за справяне с уязвимостта и публикуване на нова версия на техните приложения.
„Сега това е моментът, в който хората могат да проверят за актуализацията и да заменят конкретната версия на приложението на компютрите си с най -новите“, се казва в имейл, който Радек написа до arstechnica. „Всичко зависи от сложността на дадено приложение, неговия размер и поддържащите. Това е причината някои разработчици да не искат да актуализират или не могат да актуализират Sparkle в своите приложения. "
Радек каза, че е трудно да се знае колко приложения за Mac са засегнати, но подозира, че броят им е доста висок. Блогът му очертава тестовете, които е провеждал в някои приложения.
Margeritelli проведе тест за атака на VLC Media Player и направи кратко видео, публикувано по -долу, показващо уязвимостта.
Източник: arstechnica
