Un ingegnere informatico, specializzato in sicurezza, ha scoperto una falla all’interno del software Sparkle, utilizzato per l’aggiornamento di molti programmi per Mac. Questa falla rende le app vulnerabili ad attacchi di tipo Man-In-The-Middle (MiTM), comportando elevati rischi in termini di sicurezza. Andiamo a scoprire in dettaglio, quindi, come risolvere questa problematica che sta affliggendo tantissime applicazioni su Mac.
Una falla nel software Sparkle, utilizzato per l’aggiornamento di numerosi programmi per Mac, sta mettendo a rischio la sicurezza degli utenti. La problematica in questione rende molte app su Mac vulnerabili ad attacchi di tipo Man-in-The-Middle (MiTM), una tipologia di aggressione informatica in cui un cybercriminale si interpone in uno scambio tra due soggetti, client e server, a loro insaputa e ne modifica il contenuto. Molto spesso gli attacchi MiTM si verificano quando sono utilizzati protocolli di connessione in chiaro, come http.
La falla di Sparkle riguarda, principalmente, i Mac dotati dei sistemi operativi Yosemite o El Capitan. Le applicazioni incriminate sono tutte quelle che utilizzano Sparkle e connessioni http non crittografate. Principalmente, la falla è causata da una funzionalità fornita dal WebKit, che prevede l’esecuzione di JavaScript e che permetterebbe ai cybercriminali di modificare il codice che viene inviato tra utente e server.
Per quanto riguarda le applicazioni più famose colpite troviamo uTorrent v1.8.7, Camtasia 2 v2.10.3, Sketch v3.5.1 e DuetDisplay v1.5.2.4. Non solo, su GitHub è stata realizzata una lista delle applicazioni che si appoggiano a Sparkle, in modo tale da comprendere la diffusione di questo popolare software utilizzato per gli aggiornamenti di programmi per Mac.
Ricordiamo, infine, che la software house Sparkle ha già rilasciato un aggiornamento per risolvere questa grossa problematica, ma allo stesso tempo è compito dei produttori di applicazioni utilizzare server basati su reti https per gli aggiornamenti. Quindi, l’unico modo per risolvere questa problematica è quello di aggiornare le app sempre all’ultima versione.
