जब आपके मैक ऐप्स की बात आती है, तो बीच में एक तथाकथित आदमी से डरने का कारण होता है।
एक सुरक्षा इंजीनियर स्पार्कल के माध्यम से दुर्भावनापूर्ण कोडिंग के लिए असुरक्षित कई ऐप्स की रिपोर्ट कर रहा है, तीसरे पक्ष के सॉफ़्टवेयर फ्रेमवर्क ऐप्स अपडेट प्राप्त करने के लिए उपयोग करते हैं। पहचाने गए कुछ ऐप्स में Camtasia, VLC, uTorrent, Sketch और DuetDisplay के संस्करण शामिल हैं।
कमजोरी की सूचना सबसे पहले पिछले महीने एक ब्लॉग पर इंजीनियर के द्वारा दी गई थी, जो इस नाम से जाना जाता है राडेक. यह तब से एक अन्य शोधकर्ता द्वारा सत्यापित किया गया है, सिमोन मार्गरिटेली, और बुधवार को टेक वेबसाइट द्वारा रिपोर्ट किया गया था, आर्स्टेक्निका.
जोखिम में हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल या HTTP शामिल है। कुछ ऐप डेवलपर्स ने HTTPS के विपरीत सूचना अपडेट के लिए HTTP का उपयोग किया। S सुरक्षित के लिए है, जिसका अर्थ है कि HTTPS का उपयोग करने वाले ऐप्स सुनिश्चित करते हैं कि डेटा एन्क्रिप्ट किया गया है। HTTP अनिवार्य रूप से सादा पाठ है और सुरक्षित नहीं है।
राडेक ने कहा कि एचटीटीपी वाले ऐप्स एमआईटीएम या मैन इन मिडिल अटैक के लिए खुले हैं, जिसका अर्थ है कि कोड को गुप्त रूप से हेरफेर किया जा सकता है क्योंकि ट्रैफ़िक अंतिम उपयोगकर्ता और सर्वर के बीच से गुजरता है।
"स्पार्कल अपडेटर फ्रेमवर्क अपनी प्रकृति में सुरक्षित और उपयोग में आसान है," राडेक ने अपने ब्लॉग पर कहा। "डेवलपर्स जिन्होंने अपनी परियोजनाओं में स्पार्कल को शामिल किया है, उन्होंने सिर्फ एक सरल नियम तोड़ा है: उन्होंने हर जगह HTTPS सेट नहीं किया है।"
अच्छी खबर यह है कि स्पार्कल का नवीनतम संस्करण केवल HTTPS चैनलों का उपयोग करता है। बुरी खबर यह है कि डेवलपर्स के लिए भेद्यता को दूर करने और अपने ऐप्स का एक नया संस्करण प्रकाशित करने के लिए यह बहुत काम है।
"अब, यह वह क्षण है जब लोग अपडेट की जांच कर सकते हैं और इस विशेष ऐप संस्करण को अपने कंप्यूटर पर नवीनतम के साथ बदल सकते हैं," एक ईमेल के अनुसार राडेक ने लिखा आर्स्टेक्निका. "यह सब एक आवेदन की जटिलता, उसके आकार और रखरखाव पर निर्भर करता है। यही कारण है कि कुछ डेवलपर्स अपने एप्लिकेशन में स्पार्कल को अपडेट या अपडेट नहीं करना चाहते हैं।"
राडेक ने कहा कि यह जानना मुश्किल है कि कितने मैक ऐप प्रभावित हुए हैं, लेकिन संदेह है कि संख्या काफी अधिक है। उनका ब्लॉग कुछ ऐप्स पर उनके द्वारा चलाए गए परीक्षणों की रूपरेखा तैयार करता है।
मार्गरिटेली ने वीएलसी मीडिया प्लेयर का एक हमला परीक्षण चलाया और एक छोटा वीडियो किया, जिसे नीचे पोस्ट किया गया था, जो भेद्यता दिखा रहा था।
स्रोत: आर्स्टेक्निका