Grave vulnerabilità sulle app per Mac: ecco quali sono a rischio (video)

Cosimo Alfredo Pina
Cosimo Alfredo Pina
Grave vulnerabilità sulle app per Mac: ecco quali sono a rischio (video)

La sicurezza su OS X torna ad essere messa in discussione dopo che un ricercatore ha mostrato quanto sia semplice eseguire codice malevolo sui Mac, sfruttando alcune delle app più popolari.

Il problema evidenziato da Radek, esperto di sicurezza di Vulnsec, è legato a Sparkle un sistema "pre-confezionato" (framework) per la gestione degli aggiornamenti automatici delle app che molti sviluppatori hanno implementato nei propri software.

Il problema è legato al fatto che le comunicazioni riguardo l'uscita di una nuova versione tra server e programma non sono trasmesse su un canale sicuro (HTTP invece che HTTPS), così un potenziale malintenzionato potrebbe tentare un attacco man-in-the-middle per inviare ed eseguire malware su OS X.

LEGGI ANCHE: Continuerete ad indossare un wearable dopo questa analisi sulla loro sicurezza?

Alcune delle app che utilizzano Sparkle fortunatamente usano il protocollo di comunicazione HTTPS, che elimina questo tipo di problemi ma se i software che usate tutti i giorni sul vostro Mac si dovessero trovare nella tra quelli a rischio (vedi qui sotto) il consiglio è quello di aggiornarle al più presto dall'App Store o dai relativi siti ufficiali.

  • Acorn
  • Adium
  • Balthisar Tidy
  • Bit Slicer
  • Bittorrent Sync
  • Camtasia 2 (v2.10.4)
  • Carbon Copy Cloner
  • CCMenu
  • Chatology
  • Cinch
  • Clippy
  • Clyppan
  • Colloquy
  • Deploymate
  • DEVONthink Pro
  • Dropshare
  • DuetDisplay
  • DuetDisplay (v1.5.2.4)
  • DXO Optics Pro
  • Emmet plugin
  • Evernote
  • Fantastical
  • Fitbit Connect
  • Flux
  • GrowlMail
  • Handbrake
  • Hedgewars
  • Hex Fiend
  • HipChat
  • Hopper
  • Hopper
  • ImageAlpha
  • iPlayer Automator
  • iTerm
  • Karabiner
  • Mailbox
  • Mou
  • OpenEmu
  • Panda Mac
  • parkleDotNET
  • ProjectPlus
  • Reggy
  • Script Debugger
  • Seil
  • SelfControl
  • Sequel Pro
  • Sidestep
  • Sketch (v3.5.1)
  • Slack
  • SourceTree
  • Synk Pro
  • TCMPortMapper
  • TeamViewer
  • Teleport
  • Textual
  • Transmission
  • Transmit
  • Tunnelblick
  • Twitterrific
  • uTorrent (v1.8.7)
  • Vienna
  • Viscosity
  • Vivaldi
  • VLC
  • VyprVPN
  • WebKit Nightly
  • Wine
  • XQuartz
  • xScope
  • ZFS Plugin
  • Zulip

Lista aggiornata

Fonte: Vulnsec