Algunas de las aplicaciones de Mac que se conocen afectadas por la vulnerabilidad Sparkle

ejemplo de interfaz de actualización de sparkle

Una vulnerabilidad descubierta en una versión desactualizada del marco de actualización Sparkle de la que dependen muchas aplicaciones OS X de terceros para servir al usuario con actualizaciones periódicas ha recibido mucha atención recientemente.

Como informamos el martes, el problema de seguridad afecta a varias aplicaciones de Mac de terceros descargadas de Internet, y no a las aplicaciones descargadas de Mac App Store. La vulnerabilidad radica en la falta de una conexión encriptada y le da a un pirata informático malicioso la capacidad de realizar un ataque man-in-the-middle.

¿Pero qué aplicaciones de OS X se ven afectadas? Esta es la información que necesita saber lo antes posible para mantener su Mac a salvo de posibles amenazas de malware.

Las aplicaciones de Mac App Store no se ven afectadas

Es muy importante tener en cuenta de primera mano que las aplicaciones de Mac App Store no se ven afectadas por este problema porque se actualizan a través del mecanismo de actualización de Apple, que está bien encriptado y mantendrá seguro el tráfico de su red.

El problema solo afecta a una serie de aplicaciones OS X de terceros descargadas de Internet, como en sitios web alojados por desarrolladores de las propias aplicaciones. No vale la pena que no todas las aplicaciones se vean afectadas, solo las que usan una versión desactualizada del marco de actualización de Sparkle se ven afectadas.

Bien … entonces, ¿qué aplicaciones se ven afectadas?

Con un número tan diverso de requisitos para que una aplicación se vea afectada por la vulnerabilidad, probablemente se esté preguntando qué tipos de aplicaciones usan el marco de actualización de Sparkle y qué aplicaciones pueden verse afectadas.

Aunque no existe una lista completa para este escenario, los usuarios de aplicaciones conocidas por usar el marco de actualización Sparkle contribuyen regularmente a una lista de aplicaciones agregadas recientemente a GitHub. La lista contiene aplicaciones que usan tanto obsoletas y versiones actualizadas del marco de actualización de Sparkle, y aunque no le dice qué aplicaciones están afectadas por la vulnerabilidad, le está dando un lugar para comenzar en términos de qué aplicaciones vigilar.

Las aplicaciones que se conocen afectadas por la vulnerabilidad incluyen las siguientes:

  • Camtasia 2 (versión 2.10.4)
  • DuetDisplay (versión 1.5.2.4)
  • Sketch (versión 3.5.1)
  • uTorrent (versión 1.8.7)

… pero la lista continúa.

Algunas aplicaciones en la lista de GitHub están disponibles tanto en Mac App Store y en línea desde el sitio web de los desarrolladores, como Fantastical 2 y CyberDuck. Estas aplicaciones pueden usar el marco de actualización Sparkle o no, y es posible que se pregunte cómo se desarrolla este escenario.

Bueno, muestra exactamente cómo podría pensar: si descargó la aplicación de la Mac App Store, todavía está seguro. Si lo descargó de Internet desde un sitio web de rouge, es posible que tenga algo de qué preocuparse.

Curiosamente, incluso el investigador de seguridad (Radek) que descubrió y describió originalmente la falla en la versión obsoleta del marco de actualización Sparkle ha contribuido a la lista de GitHub para ayudar a los usuarios a desconfiar de la seguridad de actualizar ciertas aplicaciones a través de Sparkle.

Todas las aplicaciones mencionadas en la lista por los usuarios pueden usar el marco de actualización de Sparkle, pero eso no significa que todas las aplicaciones que se enumeran estén afectadas por la vulnerabilidad, solo las aplicaciones que usen una versión desactualizada del marco de actualización de Sparkle serán vulnerables porque usan un canal HTTP en lugar de un canal HTTPS cuando buscan actualizaciones.

¿Cómo solucionarán los desarrolladores de aplicaciones este problema?

Los desarrolladores de aplicaciones que saben que su aplicación está utilizando una versión vulnerable del marco de actualización de Sparkle tienen dos opciones para asegurar sus aplicaciones: 1) Actualizar el marco de actualización de Sparkle de su aplicación a la última versión, o 2) Usar la Mac App Store para alojar su aplicación. de usar su sitio web de terceros para que Apple pueda manejar las actualizaciones de la aplicación.

Las propias Apple no podrán solucionar este problema a largo plazo porque el problema no está relacionado con Apple ni con sus productos; en cambio, está relacionado con el software de terceros en el que confían los desarrolladores de terceros.

Un ejemplo reciente de cómo actualizar el marco de actualización Sparkle protege al usuario de la vulnerabilidad es VLC Media Player, que se actualizó recientemente con una solución para el problema. Además, se actualizó sin usar Mac App Store; sin embargo, la aplicación todavía usa el marco de actualización de Sparkle, pero como está actualizado, ya no es vulnerable al ataque de hombre en el medio señalado por Radek.

Cómo protegerte

Vale la pena señalar que es fácil protegerse de esta vulnerabilidad. Cuando una aplicación en su Mac que no descargó de la Mac App Store le dice que tiene una actualización disponible, simplemente puede ir al sitio web del desarrollador para descargar la última versión de la aplicación manualmente en lugar de pasar por la interfaz del actualizador .

Este método garantiza que obtenga el archivo que desea descargar y no algo que un pirata informático malintencionado podría estar obligando a descargar.

Si no está seguro acerca de su seguridad mientras usa una aplicación, también puede ponerse en contacto con el soporte técnico para esa aplicación específica y preguntar al desarrollador de la aplicación directamente para obtener una respuesta más sólida sobre si está a salvo o no de esta vulnerabilidad.

Conclusión

Es una pequeña vulnerabilidad de seguridad desagradable, sí, pero todavía no se conocen casos de uso real en el mundo real. Afortunadamente, puedes mantenerte seguro si te apegas al sentido común y te educas a medida que surja información sobre las últimas amenazas de seguridad.

¿Cuántas aplicaciones en tu Mac están usando el marco de actualización Sparkle como se muestra en GitHub? Comparte en los comentarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *