Що стосується ваших програм для Mac, є підстави побоюватися так званої людини посередині.
Інженер з безпеки повідомляє про декілька програм, уразливих до шкідливого кодування, через Sparkle, програми сторонніх програмних платформ, які використовують для отримання оновлень. Деякі з ідентифікованих програм включають версії Camtasia, VLC, uTorrent, Sketch та DuetDisplay.
Про слабкість вперше повідомив минулого місяця в блозі інженер, який називається на ім’я Радек. З тих пір це перевірив інший дослідник, Симона Маргерітеллі, і про що в середу повідомив технічний веб -сайт, arstechnica.
Ризик включає протокол передачі гіпертексту або HTTP. Деякі розробники додатків використовували HTTP для оновлення інформації, а не HTTPS. S призначений для захисту, тобто програми, які використовують протокол HTTPS, гарантують, що дані зашифровані. HTTP - це, по суті, звичайний текст і не захищений.
Радек сказав, що програми з HTTP відкриті для MiTM, або атаки людини посередині, що означає, що кодом можна таємно маніпулювати, коли трафік проходить між кінцевим користувачем і сервером.
"Рамка Sparkle Updater за своєю природою безпечна та проста у використанні", - сказав Радек у своєму блозі. "Розробники, які включають Sparkle у свої проекти, просто порушили одне просте правило: вони не всюди встановлювали HTTPS".
Доброю новиною є те, що остання версія Sparkle використовує лише канали HTTPS. Погана новина полягає в тому, що розробники мають багато працювати над усуненням вразливості та публікацією нової версії своїх програм.
«Зараз це момент, коли люди можуть перевірити наявність оновлень і замінити цю версію програми на своїх комп’ютерах найновішими», - йдеться в електронному листі, яке Радек написав arstechnica. «Все залежить від складності програми, її розміру та супроводжувачів. Ось чому деякі розробники не хочуть оновлювати або не можуть оновлювати Sparkle у своїх додатках ».
Радек сказав, що важко дізнатися, на скільки програм Mac це стосується, але підозрює, що їх кількість досить висока. Його блог описує тести, які він проводив у деяких додатках.
Margeritelli провів тест на атаку VLC Media Player і зробив коротке відео, опубліковане нижче, де показано вразливість.
Джерело: arstechnica