Zo loop je geen gevaar bij het updaten van OS X-apps
Gijs Ettes

Beveiligingsonderzoekers hebben een kwetsbaarheid aangetroffen in Sparkle, een ontwikkeltool die veel app-makers gebruiken om updates voor OS X uit te voeren. Diverse apps lopen gevaar.

Kwetsbaarheid in updatetool Sparkle

Camtasia, DuetDisplay, uTorrent en talloze andere Mac-apps zijn kwetsbaar voor een zogeheten man-in-the-middle-aanval waarbij het internetverkeer wordt onderschept en malafide code op een Mac kan worden geïnjecteerd. Hiervoor wordt gebruikgemaakt van een lek in Sparkle, een tool die ontwikkelaars in hun OS X-apps kunnen inbouwen om het updaten veiliger en sneller te maken. Het filmpje hieronder toont hoe de man-in-the-middle-aanval in zijn werk gaat.

Kwaadwillenden die misbruik willen maken van de kwetsbaarheid moeten overigens wel eerst de internetverbinding van de gebruiker manipuleren, bijvoorbeeld door een eigen, valse wifi-hotspot aan te maken waarmee de gebruiker verbindt. Daarnaast moet een OS X-app onversleuteld (via http) communiceren met de updateserver. Apps die wel gebruikmaken van een versleutelde (https) verbinding bij het updaten, lopen geen gevaar. Als gebruiker kun je echter niet zien of je apps worden bijgewerkt via een onversleutelde http- of versleutelde https-verbinding.

Dit kun je doen

Toch kun je wel degelijk stappen ondernemen om te voorkomen dat je gevaar loopt. Zo is het aan te raden om alleen te updaten via een vertrouwde wifi-verbinding. Werk apps ook alleen bij via de Mac App Store; de apps die hier staan, zijn niet getroffen door de kwetsbaarheid in Sparkle. Negeer update-meldingen die buiten de App Store worden getoond.

Verder kun je deze lijst op GitHub bekijken met apps die gebruikmaken van Sparkle en dus risico lopen. Helemaal actueel is de lijst echter niet: VLC is inmiddels gepatcht en ook Adium maakt gebruik van een versleutelde verbinding tijdens het updaten. App-ontwikkelaars zullen op hun beurt gebruik moeten maken van de laatste versie van Sparkle, waarin de problemen zijn opgelost.

Het laatste nieuws over de App Store

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.