Όταν πρόκειται για εφαρμογές Mac, υπάρχει λόγος να φοβάστε έναν λεγόμενο άντρα στη μέση.
Ένας μηχανικός ασφαλείας αναφέρει αρκετές εφαρμογές ευάλωτες σε κακόβουλη κωδικοποίηση μέσω του Sparkle, οι εφαρμογές πλαισίου λογισμικού τρίτων κατασκευαστών που χρησιμοποιούν για τη λήψη ενημερώσεων. Ορισμένες από τις εφαρμογές που προσδιορίζονται περιλαμβάνουν εκδόσεις των Camtasia, VLC, uTorrent, Sketch και DuetDisplay.
Η αδυναμία αναφέρθηκε για πρώτη φορά τον περασμένο μήνα σε ένα blog από τον μηχανικό που ακούει στο όνομα Ράντεκ. Έκτοτε επαληθεύτηκε από άλλον ερευνητή, Simone Margeritelli, και αναφέρθηκε την Τετάρτη από την ιστοσελίδα της τεχνολογίας, arstechnica.
Ο κίνδυνος περιλαμβάνει πρωτόκολλο μεταφοράς υπερκειμένου κειμένου ή HTTP. Ορισμένοι προγραμματιστές εφαρμογών χρησιμοποίησαν το HTTP για ενημερώσεις πληροφοριών σε αντίθεση με το HTTPS. Το S είναι ασφαλές, δηλαδή οι εφαρμογές που χρησιμοποιούν HTTPS διασφαλίζουν ότι τα δεδομένα είναι κρυπτογραφημένα. Το HTTP είναι ουσιαστικά απλό κείμενο και δεν είναι ασφαλές.
Ο Radek είπε ότι οι εφαρμογές με HTTP είναι ανοικτές σε MiTM, ή άτομα που βρίσκονται στη μέση επιθέσεις, πράγμα που σημαίνει ότι ο κώδικας θα μπορούσε να χειριστεί κρυφά καθώς η κυκλοφορία περνά μεταξύ ενός τελικού χρήστη και του server.ir
"Το πλαίσιο Sparkle Updater στη φύση του είναι ασφαλές και εύκολο στη χρήση", είπε ο Radek στο ιστολόγιό του. "Οι προγραμματιστές που συμπεριλαμβάνουν το Sparkle στα έργα τους απλώς παραβίασαν έναν απλό κανόνα: δεν έθεσαν το HTTPS παντού."
Τα καλά νέα είναι ότι η πιο πρόσφατη έκδοση του Sparkle χρησιμοποιεί μόνο κανάλια HTTPS. Τα άσχημα νέα είναι ότι είναι πολλή δουλειά για τους προγραμματιστές να αντιμετωπίσουν την ευπάθεια και να δημοσιεύσουν μια νέα έκδοση των εφαρμογών τους.
"Τώρα, αυτή είναι η στιγμή που οι άνθρωποι μπορούν να ελέγξουν για την ενημέρωση και να αντικαταστήσουν τη συγκεκριμένη έκδοση της εφαρμογής στους υπολογιστές τους με τις νεότερες", σύμφωνα με ένα email που έγραψε ο Radek arstechnica. «Όλα εξαρτώνται από την πολυπλοκότητα μιας εφαρμογής, το μέγεθος και τους συντηρητές της. Αυτός είναι ο λόγος για τον οποίο ορισμένοι προγραμματιστές δεν θέλουν να ενημερώσουν ή δεν μπορούν να ενημερώσουν το Sparkle στις εφαρμογές τους. "
Ο Radek είπε ότι είναι δύσκολο να γνωρίζουμε πόσες εφαρμογές Mac επηρεάζονται, αλλά υποψιάζεται ότι ο αριθμός είναι μάλλον υψηλός. Το ιστολόγιό του περιγράφει τις δοκιμές που έκανε σε ορισμένες εφαρμογές.
Ο Margeritelli πραγματοποίησε μια δοκιμαστική επίθεση του VLC Media Player και έκανε ένα σύντομο βίντεο, που δημοσιεύτηκε παρακάτω, δείχνοντας την ευπάθεια.
Πηγή: arstechnica
