嘿，苹果用户！检查您是否也受到Sparkle漏洞的影响

中间人（MitM）攻击。

 

所讨论的框架是闪烁大量第三方OS X应用程序，包括Camtasia、uTorrent、Duet Display和Sketch，用于促进后台自动更新。

 

Sparkle是GitHub上的一款开源软件，由Sparkle项目在众多有价值的贡献者的帮助下，获得麻省理工学院许可。该框架支持Mac OS X版本10.7至10.11和Xcode 5.0至7.0。

 

安全研究人员Radek在1月底发现了Sparkle漏洞，Ars reporter报道了这些漏洞，这些漏洞会影响使用以下功能的Apple Mac应用程序：

第一个漏洞是由于应用程序开发人员对Sparkle Updater框架的不当实现。

 

应用程序开发人员使用未加密的HTTP URL来检查新的更新，而不是SSL加密的通道。

因此，同一网络中的攻击者可能会执行MitM攻击，并向最终用户和服务器之间的通信中注入恶意代码，从而可能允许攻击者完全控制你的电脑。

您可以观看概念验证（PoC）攻击视频，该视频显示了针对Sequel Pro应用程序易受攻击版本的有效攻击：

另一个概念验证攻击由研究员分享西蒙娜·玛格丽特利使用较旧版本的VLC Media Player，该播放器现已更新以修补该漏洞。

 

Margaritelli展示了他是如何在运行当时最新版本的VLC media player的完全修补Mac电脑上利用该漏洞的，该技术通过让攻击与Metasploit漏洞利用框架协同工作来简化攻击。

Radek还发现了Sparkle中另一个不太严重的漏洞，可以对配置不当的更新服务器进行攻击，从而使攻击者有可能用恶意文件替换更新文件。
Sparkle漏洞影响了Mac OS X Yosemite和最新版本的OS X El Capitan。

谁受到了影响？

Sparkle漏洞影响Mac App Store之外的第三方应用，Mac App Store由用户手动从互联网下载，并使用过时的Sparkle版本。

 

虽然受影响的应用程序的实际数量不得而知，但Radek估计这个数字可能是“巨大的”

受影响的应用程序包括uTorrent（1.8.7版）、Camtasia 2（2.10.4版）、Sketch（3.5.1版）和DueTisplay（1.5.2.4版）。

检查你是否受到影响

查看使用Sparkle Updater框架的应用程序列表。如果你在苹果Mac电脑上安装了这些应用中的任何一款，你可能会面临被黑客攻击的风险。

注：并非所有列出的应用程序都通过未加密的HTTP通道进行通信，或使用过时的框架版本。

如何保护自己不受这些问题的影响？

虽然Sparkle在最新版本的Sparkle更新程序中为这两个漏洞提供了修复，但安装补丁并不容易。

 

Radek在一封电子邮件中警告称，主要问题是，创建应用程序的开发人员需要更新应用程序中的Sparkle framework，这并不是小事。

 

因为更新过程需要开发人员：

• 下载最新版本的Sparkle更新程序
• 检查Sparkle的最新版本是否与他们的应用程序兼容
• 创建一些测试用例，验证更新和其他
• 解决此安全问题并发布其应用程序的新版本

完成后，用户可以检查应用程序更新，并在其计算机上下载特定应用程序的最新版本。

 

在此之前，不确定电脑上的应用程序是否安全的用户应该避免使用不安全的Wi-Fi网络，或者使用虚拟专用网络（VPN）。

 

与此同时，如果你收到应用程序更新的提示，而不是通过更新窗口本身更新应用程序，只需访问应用程序的官方网站并从那里下载最新版本，以确保你下载的是你真正想要的。