Lo que necesita saber sobre la vulnerabilidad de Sparkle que afecta a algunas aplicaciones de OS X

ejemplo de interfaz de actualización de sparkle

Se ha descubierto que una nueva vulnerabilidad afecta a una amplia variedad de aplicaciones de terceros para OS X que se han descargado de Internet y usan una versión desactualizada del marco de actualización de Sparkle.

La nueva vulnerabilidad pone a varios usuarios de aplicaciones de terceros afectadas en riesgo de ser secuestrados cuando esas aplicaciones intentan usar el marco obsoleto para alertar a los usuarios de nuevas actualizaciones de aplicaciones.

¿Quién está afectado?

El problema, como lo señaló un ingeniero de seguridad llamado Radek en vulnsec.com, no afecta a las aplicaciones que se actualizan a través de Mac App Store, sino que afecta a una serie de aplicaciones de terceros descargadas de Internet que son instaladas manualmente por el usuario y está utilizando una versión desactualizada del marco de actualización de Sparkle para buscar regularmente actualizaciones automáticamente en segundo plano.

Últimamente, estaba haciendo una investigación relacionada con diferentes estrategias de actualización, y probé algunas aplicaciones que funcionaban con Mac OS X. Esta breve investigación de fin de semana reveló que tenemos muchas aplicaciones inseguras en la naturaleza. Como resultado, he encontrado una vulnerabilidad que permite que un atacante tome el control de otra computadora en la misma red (a través de MITM).

La vulnerabilidad no está en la firma del código en sí. Existe debido a la funcionalidad proporcionada por la vista WebKit que permite la ejecución de JavaScript y la capacidad de modificar el tráfico HTTP no cifrado (respuesta XML).

A continuación, el ingeniero de seguridad demuestra en un video de YouTube cómo funciona la vulnerabilidad:

Entre algunas de las aplicaciones afectadas se encuentran Camtasia 2 (versión 2.10.4), DuetDisplay (versión 1.5.2.4), Sketch (versión 3.5.1) y uTorrent (versión 1.8.7), pero muchas otras aplicaciones de terceros que utilizan el mismo marco de actualización inseguro también se ve afectado.

VLC Media Player se vio afectado recientemente por esta vulnerabilidad, pero una actualización reciente de la aplicación (versión 2.2.2) supuestamente ha solucionado el problema. Ars Technica señala que la vulnerabilidad afecta a las Mac que ejecutan OS X Yosemite y OS X El Capitan.

¿Como funciona?

La vulnerabilidad del marco del actualizador Sparkle es esencialmente un ataque man-in-the-middle, que es cuando la máquina del usuario intenta comunicarse con el servidor de actualización a través de una conexión HTTP no cifrada e insegura y un hacker con intenciones maliciosas puede ponerse en el medio de la línea de comunicación y obligar a la computadora del usuario a descargar software malicioso en lugar de la cosa real.

Debido a que el problema no afecta el mecanismo de actualización en Mac App Store, los desarrolladores de aplicaciones de terceros podrían evitar este problema simplemente alojando sus aplicaciones en Mac App Store. La otra opción que tienen los desarrolladores de aplicaciones de terceros es actualizar el marco de actualización Sparkle que utilizan sus aplicaciones a la última versión, que no se ve afectada por la vulnerabilidad encontrada por estos investigadores de seguridad.

Esto no es algo que Apple pueda solucionar fácilmente para proteger los sistemas de sus usuarios, pero esta es una de las razones por las que Apple se ha vuelto tan estricta con la configuración de seguridad predeterminada de OS X, como tener Gatekeeper configurado para permitir que solo se descarguen aplicaciones desde Mac App Store por defecto. En cambio, esto es algo que los desarrolladores de aplicaciones de terceros tienen que arreglar por sí mismos actualizando sus aplicaciones según sea necesario.

¿Cómo me protejo?

En términos de protegerse de esta vulnerabilidad en el marco de actualización de Sparkle, el mejor consejo que podemos darle es cuando vea un aviso para una actualización de la aplicación, en lugar de actualizar la aplicación a través de la ventana de actualización, simplemente visite el sitio web de la aplicación y descargue la última versión del sitio web para que sepa que está descargando lo que realmente pretende descargar.

Si está intentando actualizar una aplicación desde Mac App Store, entonces no tiene nada de qué preocuparse porque esta vulnerabilidad no afecta las aplicaciones de Mac App Store.

Los desarrolladores de aplicaciones de terceros que son conscientes de que este problema está afectando sus aplicaciones actualizarán sus aplicaciones en consecuencia para proteger a sus usuarios, así que esté atento a las actualizaciones en las páginas web de las aplicaciones que usa regularmente en su Mac.

¿Está utilizando alguna de las aplicaciones afectadas en su sistema OS X? Comparte en los comentarios abajo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *