Sparkle Framework: App-Updatemechanismus wird für Hackerangriffe ausgenutzt

| 15:36 Uhr | 0 Kommentare

Unsere Kollegen von Arstechnica berichten von einer Sicherheitslücke im Sparkle Framework, welches Hackerangriffe bei vielen namhaften Apps bietet. VLC, Skech, uTorrent und viele weitere Apps sind betroffen.

vlc_update

Sparkle Framework bietet Sicherheitsrisiken

Entwickler haben die Möglichkeit ihre Apps im Mac App Store zu platzieren und über diesen auch die Updates abzuwickeln. Alternativ können Entwickler ihre Applikationen selbst hosten und auf verschiedene Update-Mechanismen setzten. Eine Möglichkeit ist es beispielswese, das Sparkle Framework für die Updatetätigkeit einzusetzen.

Nun wird allerdings eine Sicherheitslücke bei Sparkle bekannt, die es ermöglicht, dass sogenannte Man-in-the-Middle-Attacken durchgeführt werden können. Das Problem besteht darin, dass Sparkle zum Teil auf HTTP anstatt auf HTTPS Verbindungen setzt. Der Datenverkehr zwischen Endverbrauchern und dem Server kann abgefangen und manipuliert werden. So kann Apps bei einem Update vorgegaukelt werden, dass ein normales Update ausgeführt wird, obwohl gerade Schadsoftware instaliert wird.

Sparkle hat sein Framework bereits aktualisiert. Allerdings müssen Entwickler dises aktualisierte Framework nun bei ihren Apps einsetzen. Verschiedene Entwickler haben davon bereits Gebrauch gemacht, allerdings noch nicht jeder. Vielleicht solltet ihr mal kontrollieren, ob Apps, die nicht über den Mac App Store geladen wurden, auf dem neusten Stand sind.

Kategorie: Mac

Tags:

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *