Cuando se trata de las aplicaciones de Mac, hay motivos para temer a un supuesto intermediario.
Un ingeniero de seguridad informa que varias aplicaciones son vulnerables a la codificación maliciosa a través de Sparkle, el marco de trabajo de software de terceros que utilizan las aplicaciones para recibir actualizaciones. Algunas de las aplicaciones identificadas incluyen versiones de Camtasia, VLC, uTorrent, Sketch y DuetDisplay.
La debilidad fue reportada por primera vez el mes pasado en un blog por el ingeniero que se conoce con el nombre Radek. Desde entonces ha sido verificado por otro investigador, Simone Margeritelli, y fue informado el miércoles por el sitio web de tecnología, arstechnica.
El riesgo implica el protocolo de transferencia de hipertexto o HTTP. Algunos desarrolladores de aplicaciones utilizaron HTTP para actualizar la información en lugar de HTTPS. La S es para aplicaciones seguras, lo que significa que las aplicaciones que usan HTTPS garantizan que los datos estén encriptados. HTTP es esencialmente texto sin formato y no es seguro.
Radek dijo que las aplicaciones con HTTP están abiertas a MiTM, o ataques man in the middle, lo que significa que el código podría manipularse en secreto a medida que el tráfico pasa entre un usuario final y el servidor.
"El marco Sparkle Updater en su naturaleza es seguro y fácil de usar", dijo Radek en su blog. "Los desarrolladores que incluyen Sparkle en sus proyectos simplemente rompieron una regla simple: no establecieron HTTPS en todas partes".
La buena noticia es que la versión más reciente de Sparkle usa solo canales HTTPS. La mala noticia es que es mucho trabajo para los desarrolladores abordar la vulnerabilidad y publicar una nueva versión de sus aplicaciones.
"Ahora, este es el momento en el que las personas pueden buscar la actualización y reemplazar esta versión de la aplicación en particular en sus computadoras con las más nuevas", según un correo electrónico que Radek escribió. arstechnica. “Todo depende de la complejidad de una aplicación, su tamaño y sus encargados. Esa es la razón por la que algunos desarrolladores no quieren actualizar Sparkle en sus aplicaciones o no pueden hacerlo ".
Radek dijo que es difícil saber cuántas aplicaciones de Mac están afectadas, pero sospecha que el número es bastante alto. Su blog describe las pruebas que ejecutó en algunas aplicaciones.
Margeritelli ejecutó una prueba de ataque del VLC Media Player e hizo un video corto, publicado a continuación, que muestra la vulnerabilidad.
Fuente: arstechnica