Mis puutub teie Maci rakendustesse, siis on põhjust karta nn meest keskel.
Turvainsener teatab mitmest pahatahtliku kodeerimise suhtes haavatavast rakendusest Sparkle'i kaudu, mida kolmanda osapoole tarkvararaamistiku rakendused värskenduste saamiseks kasutavad. Mõned tuvastatud rakendused hõlmavad Camtasia, VLC, uTorrent, Sketch ja DuetDisplay versioone.
Nõrkusest teatas esimest korda eelmisel kuul blogis insener, kes kannab nime Radek. Hiljem on seda kinnitanud teine teadlane, Simone Margeritellija sellest teatas kolmapäeval tehnika veebisait, arstechnica.
Risk hõlmab hüperteksti edastusprotokolli või HTTP -d. Mõned rakenduste arendajad kasutasid teabe uuendamiseks HTTP -d, mitte HTTPS -i. S on turvaline, mis tähendab, et HTTPS -i kasutavad rakendused tagavad andmete krüptimise. HTTP on sisuliselt lihttekst ja pole turvaline.
Radek ütles, et HTTP -ga rakendused on avatud MiTM -ile või ründajatele, mis tähendab, et koodi saab salaja manipuleerida, kui liiklus kulgeb lõppkasutaja ja serveri vahel.
"Sparkle Updateri raamistik on oma olemuselt ohutu ja hõlpsasti kasutatav," ütles Radek oma ajaveebis. "Arendajad, kes kaasavad Sparkle'i oma projektidesse, rikkusid lihtsalt ühte lihtsat reeglit: nad ei seadnud HTTPS -i kõikjal."
Hea uudis on see, et Sparkle'i uusim versioon kasutab ainult HTTPS -kanaleid. Halb uudis on see, et arendajad peavad haavatavusega tegelema ja oma rakenduste uue versiooni avaldama palju tööd.
"Nüüd on see hetk, mil inimesed saavad värskendust otsida ja asendada selle konkreetse rakenduse versiooni oma arvutites uusimatega," kirjutas Radek. arstechnica. "Kõik sõltub rakenduse keerukusest, selle suurusest ja hooldajatest. See on põhjus, miks mõned arendajad ei soovi Sparkle'i oma rakendustes värskendada või ei saa seda värskendada. ”
Radek ütles, et on raske teada, kui palju Maci rakendusi see mõjutab, kuid kahtlustab, et see arv on üsna suur. Tema ajaveeb kirjeldab teste, mida ta mõnedes rakendustes läbis.
Margeritelli tegi VLC Media Playeri rünnakutesti ja tegi allpool avaldatud lühikese video, mis näitab haavatavust.
Allikas: arstechnica