Reacties voor: Tientallen Mac-apps onveilig door Sparkle: dit kun je eraan doen

Door Sparkle zijn tientallen Mac-apps kwetsbaar voor een aanval, waarbij malware geïnstalleerd kan worden. In 6 vragen leggen we uit wat het probleem is en hoe je jezelf beschermt.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Reacties: 10 reacties

  1. Mijn advies:

    Check bij een update de website van de ontwikkelaar. Download de update daar en installeer over de oude versie. Vanaf dat moment is deze app “veilig”.

    Voor een overzicht van apps met Sparkle op jouw systeem: Open terminal en typ find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

  2. Gevorderde gebruikers kunnen via het Python script op deze pagina snel in kaart brengen welke Apps op hun systeem hierdoor zijn getroffen.

  3. Dat is natuurlijk weer smullen en gniffelen voor de algemene media, waarbij vooral in de koppen de nuance ver te zoeken is. Bv NOS: “Updaten Mac-apps in veel gevallen onveilig” 😱.

    Overigens hebben die ver achterin het artikel wel een nuance verstopt die ik nota bene hier nog mis: je moet wel ook de deur openzetten voor zo’n man-in-the-middle aanval, bijvoorbeeld door een onbeveiligde WiFi verbinding te gebruiken. Of is dat (ook) een gevalletje ‘de klok horen luiden’ (maar waar hangt nou toch die klepel 😧)?

    Lijkt me op zijn minst ook een nuttige tip om überhaupt onnodige risico’s te voorkómen: nóóit via een publieke WiFi hotspot welke software dan ook updaten…

  4. In mijn geval NetSpot en iStumbler maar verwijderd.

  5. Wat een paniek opeens weer. Behalve de MAS gebruikt tegenwoordig zo ongeveer iedere ontwikkelaar Sparkle. Behalve dan bijvoorbeeld Adobe en Microsoft die nog steeds hun eigen update mechanisme hebben.

    Sparkle heeft t.o.v. van de MAS veel voordelen (kijk maar eens naar de update frequentie) en er zijn juist veel devs die de MAS weer verlaten. (uiteraard om andere redenen)

    Advies; zoals hierboven geschreven, is er een app die via Sparkle een update aangeeft, dan gewoon nara de website van de app gaan en dan downloaden. Simpel…

    PS ik heb op dit moment overigens maar een app die al een hele tijd niet geüpdatet is en dat is Transmission…

    PS 2 het terminal script is denk ik niet helemaal goed want ik heb veel meer apps die Sparkle gebruiken dan via Terminal te voorschijn komen…

  6. Voor mensen die gebruik willen maken van het python script.
    1) Kopieer de code van het script
    2) Open Terminal en type “cd ~/Desktop/”
    3) Type in Terminal “nano sparkle.py”
    4) Plak nu het script in het terminal venster
    5) Doe ctrl+x en dan y
    6) Type nu in Terminal “python sparkle.py”

    Vervolgens krijg je output wat lijkt op

    /Applications/uTorrent.app - com.bittorrent.uTorrent
    /Applications/Sketch Toolbox.app - uz.shahr.Sketch-Toolbox
    /Applications/InVisionSync.app - com.invisionapp.InVisionSync

    Dat zijn alle app’s die door het script er uit zijn gevist

  7. Ik druk al jaren gewoon op updaten en nooit ergens last van, bangmakerij – apple zorgt goed voor ons hoor.

  8. Origineel geplaatst door Marnix van de Veen
    Mijn advies:
    Check bij een update de website van de ontwikkelaar. Download de update daar en installeer over de oude versie. Vanaf dat moment is deze app “veilig”.
    Voor een overzicht van apps met Sparkle op jouw systeem: Open terminal en typ find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

    Dit gaat er natuurlijk vanuit dat je al je programma’s in de systeemfolder plaatst (waar alle andere gebruikers ook bij kunnen). Ikzelf plaats het leeuwendeel van applicaties in de programmafolder van de gebruiker of in andere verborgen directories, behalve als Apple of andere domme developers hun programma’s kapotmaken als het niet in /Applications staat.

    Case in point, system applications folder: 0 resultaten. User applications folder: bijna 30 schuldigen.

  9. Het probleem lijkt toch ook aan OS X zelf te liggen. Blijkbaar wordt het voor een deel veroorzaakt door WebKit en Finder. In OS X is Finder namelijk het standaardprogramma voor FTP/SMB/AFP. Als je een URL met zo een protocol opent zal Finder dit automatisch als virtuele schijf ‘mounten’. Vervolgens krijg je dan het probleem dat een programma op deze schrijf gewoon zou kunnen worden uitgevoerd.

    Blijkbaar kun je het probleem gedeeltelijk voorkomen door Firefox te installeren (want dan wordt het FTP-protocol door Firefox bezet) of de protocollen voor FTP/SMB/AFP handmatig over te zetten naar Safari of Firefox in plaats van Finder. Gebruik je Safari moet je ook uitkijken dat Gatekeeper ingeschakeld is, want dan krijg je gewoon een waarschuwing.

    In aanvulling op het hierboven genoemde script: Helaas is het zo dat niet iedere ontwikkelaar het Sparkle-framework zomaar importeert, want sommigen bouwen het ook gewoon zelf in. Dat is bijvoorbeeld bij VLC het geval. Ik zou daarom in aanvulling op deze scripts ook het volgende proberen. Iedere URL die met https:// begint is in principe veilig, ook al gebruikt het programma een oudere versie van Sparkle.

    for i in /Applications/*/Contents/Info.plist; do defaults read "$i" SUFeedURL 2>/dev/null; done

    En voor Bubbly ook:
    for i in ~/Applications/*/Contents/Info.plist; do defaults read "$i" SUFeedURL 2>/dev/null; done

  10. Ook ik gooi even een variatie op het scriptje er in:

    find /Applications -path '*/Frameworks/Sparkle.framework*' -name 'Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

    Deze geeft ook de versie van Sparkle weer, die moet 1.13.1 zijn. Maarrrr… VLC geeft aan dat ze dit gefixed hebben terwijl ze nog op Sparkle 1.6.0 zitten. Dat komt omdat VLC kennelijk wel gebruik maakt van een beveiligde verbinding met Sparkle. Hoe we kunnen achterhalen welke pre-sparkle-1.13.1 apps al dan niet van een beveiligde verbinding maken weet ik niet.

Reacties zijn gesloten voor dit artikel.