Mac-sovellusten suhteen on syytä pelätä niin sanottua miestä keskellä.
Suojausinsinööri ilmoittaa useista sovelluksista, jotka ovat alttiita haitalliselle koodaukselle Sparklen kautta, jotka kolmannen osapuolen ohjelmistokehyssovellukset käyttävät päivitysten vastaanottamiseen. Jotkin tunnistetuista sovelluksista sisältävät Camtasia-, VLC-, uTorrent-, Sketch- ja DuetDisplay -versioita.
Heikkoudesta ilmoitti ensimmäisen kerran viime kuussa blogissa insinööri, joka käyttää nimeä Radek. Sen jälkeen toinen tutkija on vahvistanut sen, Simone Margeritelli, ja teknologia -sivusto kertoi keskiviikkona, arstechnica.
Riski liittyy hyper -tekstinsiirtoprotokollaan tai HTTP: hen. Jotkut sovelluskehittäjät käyttivät HTTP: tä tietojen päivitykseen HTTPS: n sijaan. S on suojattu, mikä tarkoittaa, että HTTPS -protokollaa käyttävät sovellukset varmistavat tietojen salaamisen. HTTP on lähinnä pelkkää tekstiä eikä suojattu.
Radek sanoi, että HTTP: tä käyttävät sovellukset ovat avoimia MiTM: lle tai miehelle keskellä hyökkäyksille, mikä tarkoittaa sitä, että koodia voidaan käsitellä salaa liikenteen kulkiessa loppukäyttäjän ja palvelimen välillä.
"Sparkle Updater -kehys on luonteeltaan turvallinen ja helppokäyttöinen", Radek sanoi blogissaan. "Kehittäjät, jotka ottavat Sparklen projekteihinsa, rikkovat vain yhtä yksinkertaista sääntöä: he eivät asettaneet HTTPS -protokollaa kaikkialle."
Hyvä uutinen on, että Sparklen uusin versio käyttää vain HTTPS -kanavia. Huono uutinen on, että kehittäjät tekevät paljon työtä korjatakseen haavoittuvuuden ja julkaistakseen uuden version sovelluksistaan.
"Nyt tämä on hetki, jolloin ihmiset voivat tarkistaa päivityksen ja korvata tämän sovelluksen version tietokoneillaan uusimmilla", Radek kirjoitti sähköpostissa. arstechnica. "Kaikki riippuu sovelluksen monimutkaisuudesta, sen koosta ja ylläpitäjistä. Tästä syystä jotkut kehittäjät eivät halua päivittää tai eivät voi päivittää Sparklea sovelluksissaan. ”
Radek sanoi, että on vaikea tietää, kuinka moni Mac -sovellus vaikuttaa, mutta epäilee, että määrä on melko korkea. Hänen blogissaan kuvataan testejä, joita hän suoritti joissakin sovelluksissa.
Margeritelli suoritti VLC Media Playerin hyökkäystestin ja teki alla olevan lyhyen videon, joka osoittaa haavoittuvuuden.
Lähde: arstechnica