Allarme Sicurezza, centinaia di app OS X a rischio per via di Sparkle

sparklevulnerability-800x450.jpg

Molte centinaia di applicazioni per Mac sono a rischio sicurezza. La causa è un elemento comune utilizzato per gli aggiornamenti chiamato Sparkle. Ecco tutte le app coinvolte.

La vulnerabilità in questione è stata scoperta lo scorso gennaio. Da allora è stata già risolta, ma le modifiche non si sono ancora fatte strada nelle app stesse; si stima che la cosa possa riguardare quasi 800 titoli attualmente presenti sul Web, alcuni dei quali molto noti come Camtasia, Duet Display, uTorrent, Sketch e VLC. Il numero esatto non è conosciuto, ma potrebbe essere davvero "enorme." Potete consultare una lista aggiornata in tempo reale su questa pagina Web.

Il problema risiede nel modulo Sparkle fallato utilizzato da tutti questi software per gli aggiornamenti automatici, e che potrebbe portare ad un attacco di tipo man in the middle, grazie al quale un hacker è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti comunicanti tra di loro, nonché avviare software malevolo.

Chi se la sente può provare a usare il seguente comando nel Terminale, per avere la lista delle app affette dal problema presenti sul proprio Mac:

for a in $(ls /Applications); do defaults read "/Applications/$a/Contents/Info.plist" SUFeedURL 2>/dev/null | grep -v https >/dev/null && echo $a; done

Nel nostro caso ne abbiamo trovate addirittura 11, compresi Skitch, NetNewsWire, Transmission, UnrarX e HandBrake. Da notare che alcune di esse, tipo Skitch, non verranno mai aggiornate per la semplice ragione che Evernote ne ha cessato lo sviluppo. Ed è probabile che ciò riguardi un elevato numero di app là fuori, quindi prestate attenzione.

Il consiglio, in attesa di un update risolutore, è di utilizzare esclusivamente connessioni sicure; niente network WiFi dove capita, e se accade almeno limitate i danni con una VPN. La falla non coinvolge le app del Mac App Store, visto che queste ultime utilizzano un sistema di update diverso messo a punto da Apple.

  • shares
  • Mail