Als het gaat om je Mac-apps, is er reden om bang te zijn voor een zogenaamde man in het midden.
Een beveiligingstechnicus meldt dat verschillende apps kwetsbaar zijn voor kwaadaardige codering via Sparkle, de softwareframework-apps van derden die worden gebruikt om updates te ontvangen. Enkele van de geïdentificeerde apps zijn versies van Camtasia, VLC, uTorrent, Sketch en DuetDisplay.
De zwakte werd vorige maand voor het eerst gemeld op een blog door de ingenieur die de naam draagt Radek. Het is inmiddels geverifieerd door een andere onderzoeker, Simone Margeritelli, en werd woensdag gemeld door de technische website, arstechnica.
Het risico is het hypertext transfer protocol of HTTP. Sommige app-ontwikkelaars gebruikten HTTP voor informatie-updates in tegenstelling tot HTTPS. De S staat voor veilig, wat betekent dat apps die HTTPS gebruiken ervoor zorgen dat gegevens worden versleuteld. HTTP is in wezen platte tekst en niet veilig.
Radek zei dat apps met HTTP openstaan voor MiTM, of man-in-the-middle-aanvallen, wat betekent dat code in het geheim kan worden gemanipuleerd als verkeer tussen een eindgebruiker en de server gaat.ir
"Het Sparkle Updater-framework is van nature veilig en gemakkelijk te gebruiken", zei Radek op zijn blog. "Ontwikkelaars die Sparkle in hun projecten opnemen, hebben slechts één simpele regel overtreden: ze hebben niet overal HTTPS ingesteld."
Het goede nieuws is dat de meest recente versie van Sparkle alleen HTTPS-kanalen gebruikt. Het slechte nieuws is dat het voor ontwikkelaars veel werk is om de kwetsbaarheid aan te pakken en een nieuwe versie van hun apps te publiceren.
"Dit is het moment waarop mensen kunnen controleren op de update en deze specifieke app-versie op hun computers kunnen vervangen door de nieuwste", aldus een e-mail die Radek schreef aan arstechnica. “Het hangt allemaal af van de complexiteit van een applicatie, de grootte en de onderhouders. Dat is de reden waarom sommige ontwikkelaars Sparkle niet willen updaten of niet kunnen updaten in hun applicaties.”
Radek zei dat het moeilijk is om te weten hoeveel Mac-apps zijn getroffen, maar vermoedt dat het aantal nogal hoog is. Zijn blog schetst de tests die hij op sommige apps heeft uitgevoerd.
Margeritelli voerde een aanvalstest uit van de VLC Media Player en maakte een korte video, die hieronder wordt gepost, waarin de kwetsbaarheid wordt getoond.
Bron: arstechnica
