Le app di terze parti continuano a rappresentare una potenziale fonte di problemi per tutti i principali sistemi operativi. A fare notizia sono questa volta Apple e i computer Mac con Os X Yosemite ed El Capitan. Un ricercatore della società Vulnsec, noto come Radek, ha pubblicato una serie di proof of concept riguardanti una vulnerabilità che colpisce numerose applicazioni che sfruttano il framework Sparkle. Va detto subito che il problema non riguarda il software presente sull’App Store, risultato sicuro, ma tutti gli applicativi liberamente scaricabili dal Web. Secondo Radek, le cui scoperte sono state riprese e ampliate anche da altri ricercatori, programmi noti come Camtasia, uTorrent e Vlc media player (bug ora risolto), potrebbero aprire le porte a un attacco di tipo man-in-the-middle (Mitm) durante le procedure di aggiornamento. Questo perché alcune versioni del framework Sparkle, quando associate a connessioni non crittografate (Http) utilizzate per distribuire gli update, consentirebbero l’esecuzione di codice Javascript maligno.
Eventuali hacker, connessi per esempio alla stessa rete WiFi della vittima, potrebbero quindi intercettare i dati scambiati tra il client e il server, inserendosi nel mezzo e modificando il traffico. Il numero esatto di applicazioni colpite non è noto, in quanto non è per niente facile identificare tutte le condizioni necessarie per determinare con certezza la vulnerabilità. Secondo Radek sono però moltissime e il ricercatore Jonathan Zdziarski ha incluso nella lista anche strumenti di ingegneria inversa come Hopper. Un elenco, per forza di cose parziale, è comunque disponibile su Github.
Cosa fare quindi per mettersi al sicuro? Se il sospetto di avere installato un programma a rischio è alto, la miglior cosa da fare è sicuramente rimuovere il software o cercare una versione aggiornata. I vari produttori si stanno muovendo per rilasciare in tempi brevi degli update. Come Videloan, che ha pubblicato la release numero 2.2.2 del proprio media player, ora immune dalla vulnerabilità.
Fonte: Vulnsec
Ma anche ricorrere all’aggiornamento potrebbe non essere sufficiente. È necessario infatti verificare che l’app non faccia affidamento né sulla versione “corrotta” di Sparkle, né a canali di comunicazione non crittografati. In questo caso, anche l’installazione di update non porterebbe alcun beneficio in termini di sicurezza.