Groot aantal OS X-apps onveilig door Sparkle, check je apps
Er is een beveiligingsprobleem in het Sparkle Framework ontdekt. Mac-apps die buiten de App Store om verkrijgbaar zijn -zoals VLC, uTorrent, TeamViewer en Sketch- gebruiken dit om updates af te handelen. Sparkle blijkt vatbaar voor een man-in-the-middle-aanval.
Door deze aanval kunnen kwaadwillenden via Sparkle kwaadaardige versies van apps als update aanbieden en zo bijvoorbeeld gegevens stelen. Ze moeten dan wel met hetzelfde (Wi-Fi) netwerk verbonden zijn.
Oude versie Sparkle kwetsbaar Een oude versie van het Sparkle framework werkt via http en controleert niet of aangeboden updates authentiek zijn. Een tweede probleem is dat vanuit de sectie met informatie over de update javascript uitgevoerd kan worden en zo commando’s op het systeem uitgevoerd kunnen worden. De kwetsbaarheden zijn door Sparkle al een tijdje geleden verholpen, maar veel applicaties gebruiken nog een oude versie van het framework
Check kwetsbare apps Checken of je apps met een kwetsbare versie van Sparkle hebt is eenvoudig. Open de terminal en voer het onderstaande commando uit. Er verschijnt nu een lijst met versienummers. Applicaties met een versie lager dan 1.13.1 (dus 1.6.x en 1.8.x ook, het telt verder dan 10) zijn kwetsbaar. Grote apps als VLC zijn inmiddels begonnen met het updaten van het framework. find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} ; -exec grep -A1 CFBundleShortVersionString '{}' ; | grep -v CFBundleShortVersionString
Dit kun je doen Een man-in-the-middle-aanval werkt alleen als een derde partij je (Wi-Fi) verbinding kan beïnvloeden. Het risico op infectie is daarom ook laag, maar neem deze maatregelen in acht:
Update geen apps via openbare Wi-Fi netwerken, alleen je eigen netwerk. Bezoek de website van de fabrikant en installeer een nieuwe versie van kwetsbare apps (check dit via bovenstaande methode). Apps uit de Mac App Store zijn veilig. Dit is niet de fout van Apple of de maker van de apps. Sparkle is een externe oplossing die ontwikkelaars kunnen gebruiken om updaten makkelijk te maken. Technische details zijn in deze blogpost van de ontdekker van de zwakheid te vinden.
Archief
- There's always One More Thing… 2017.06.01
- De 6 irritantste Apple-meldingen en hoe je ze uit zet 2017.05.31
- Apple’s Carpool Karaoke start 8 augustus 2017.05.31
- ‘Nieuwe iPads, MacBooks én Magic Keyboard op WWDC 2017’ 2017.05.31
- Waarom de ‘iPhone 8’ anders gaat heten 2017.05.31
- Mobiel betalen in het OV loopt uit op flop 2017.05.31
- Nest Cam IQ: beter beeld, minder cloud 2017.05.31
- Apple zet serieus in op eigen 4G-chips 2017.05.30
- Essential Phone: oude bekende geeft eigenzinnig antwoord op de iPhone 2017.05.30
- Nieuwe Mac-app van maker Pixelmator op komst 2017.05.30