Descubierta una vulnerabilidad que deja expuestas a ataques aplicaciones populares en OS X

Descubierta una vulnerabilidad que deja expuestas a ataques aplicaciones populares en OS X

Escrito por: Chus Vilallonga   @ChusVilallonga    11 febrero 2016     1 minuto

Algunas de las aplicaciones más populares que se usan en OS X están expuestas a ataques gracias a un fallo de seguridad en Sparkle, el sistema de actualización que usan estas aplicaciones.

Para mencionar algunas de las aplicaciones expuestas, podríamos mencionar uTorrentCamtasia, VLC o Sketch.

El problema del sistema de actualización de estas aplicaciones y muchas otras, Sparkle, está en que tiene un protocolo de transferencia HTTP para las actualizaciones en vez de HTTPS seguro para transferencias encriptadas. El hecho de que HTTP sea en base texto plano, permite que el código pueda ser manipulado y explotado una vez alojado en el Mac, lo que daría el control remoto del equipo.

La buena noticia de esta historia es que la última versión de Sparkle ya utiliza solamente canales HTTPS. La mala es que hay que adaptar cada aplicación a este protocolo, tarea muy ardua para los desarrolladores que no vería sus frutos hasta que sus respectivas aplicaciones se actualizasen. El trabajo que hay que dedicarle a cada app depende de su propia complejidad y tamaño. Debido a esto, muchos desarrolladores no quieren o no puede actualizar sus aplicaciones mediante Sparkle.

No se sabe cuantos usuarios pueden estar afectados por la vulnerabilidad, pero teniendo en cuenta las aplicaciones afectadas, se calcula que la cifra no será pequeña ni por asomo. Por lo demás, lo único que puede hacerse es esperar.

Vía | Ars Technica


2 comentarios

  1. Marco dice:

    no es HHTP o HHTPS, es HTTPS!