Što se tiče vaših Mac aplikacija, postoji razlog za strah od takozvanog čovjeka u sredini.
Inženjer sigurnosti prijavljuje nekoliko aplikacija osjetljivih na zlonamjerno kodiranje putem Sparklea, softverskog okvira softvera treće strane koji koristi za primanje ažuriranja. Neke od identificiranih aplikacija uključuju verzije Camtasia, VLC, uTorrent, Sketch i DuetDisplay.
O slabosti je prvi put prošlog mjeseca na blogu izvijestio inženjer koji se tako zove Radek. Od tada je to potvrdio drugi istraživač, Simone Margeritelli, a o tome je u srijedu izvijestila tehnološka web stranica, arstechnica.
Rizik uključuje hiper protokol prijenosa teksta ili HTTP. Neki programeri aplikacija koristili su HTTP za ažuriranje informacija, za razliku od HTTPS -a. S je za sigurno, što znači da aplikacije koje koriste HTTPS osiguravaju šifriranje podataka. HTTP je u osnovi običan tekst i nije siguran.
Radek je rekao da su aplikacije s HTTP -om otvorene za MiTM, ili napada u sredini, što znači da se kodom može tajno manipulirati dok promet prolazi između krajnjeg korisnika i poslužitelja.ir
"Okvir Sparkle Updater u svojoj je prirodi siguran i jednostavan za upotrebu", rekao je Radek na svom blogu. "Programeri koji uključuju Sparkle u svoje projekte samo su prekršili jedno jednostavno pravilo: nisu svugdje postavili HTTPS."
Dobra vijest je da najnovija verzija Sparkle koristi samo HTTPS kanale. Loša vijest je da programeri puno rade na rješavanju ranjivosti i objavljivanju nove verzije svojih aplikacija.
"Ovo je trenutak kada ljudi mogu provjeriti ažuriranje i zamijeniti ovu verziju aplikacije na svojim računalima s najnovijom", stoji u e -poruci koju je Radek napisao arstechnica. “Sve ovisi o složenosti aplikacije, njezinoj veličini i održavačima. To je razlog zašto neki programeri ne žele ažurirati ili ne mogu ažurirati Sparkle u svojim aplikacijama. ”
Radek je rekao da je teško znati koliko je Mac aplikacija pogođeno, ali sumnja da je broj prilično velik. Njegov blog opisuje testove koje je radio na nekim aplikacijama.
Margeritelli je proveo napadni napad VLC Media Playera i napravio kratki video, objavljen ispod, koji prikazuje ranjivost.
Izvor: arstechnica