10.02.2016 19:01 PBR85

Mac: Sicherheitslücke im Sparkle Framework ermöglicht Hackerangriffe während App-Updates

Über das Sparkle Framework können Entwickler einfach Updates für ihr Mac-Apps verteilen. Doch das Netzwerk hat eine Sicherheitslücke, die es ermöglicht Man-in-the-Middle-Angriffe auszuführen und Schadsoftware zu installieren, wie jetzt entdeckt wurde. Betroffen ist davon eine große Anzahl von Apps unter OS X El Capitan und Yosemite.

Sicherheitslücken in Apps und Betriebssystemen kommen immer wieder vor und auch Apples iOS und OS X sind davon nicht ausgenommen. Nun wurde eine neue Sicherheitslücke entdeckt, die das Sparkle Framework betrifft und es ermöglicht Man-in-the-Middle"-Angriffe gegen Macs auszuführen, wie Arstechnica berichtet.

Während iOS und das dazugehörige App Ökosystem stark abgeschottet ist, können Entwickler von Mac Apps Updates über den Mac App Store oder auch andere Mechanismen verteilen. Eine davon ist das Sparkle Framework, mit dem automatische Updates von Apps automatisch verteilt werden.

Die Sicherheitslücke besteht nun darin, dass für die Verbindung zum Updateserver teilweise über HTTP statt das sicherere HTTPS erfolgt, während gleichzeitig eine Besonderheit von Sparkles WebKit es ermöglicht Javascript auszuführen. Damit sind Angreifer prinzipiell in der Lage sich dazwischen zu schalten und den Datenstrom zu manipulieren und so Schadsoftware zu installieren.

Betroffen sind davon zahlreiche Apps sowohl unter dem derzeit aktuellen El Capitan als auch dem Vorgänger OS X Yosemite. Dazu zählen laut dem Bericht Sequel pro, Camtasia, uTorrent, eine ältere Version vom beliebten Medienplayer VLC und eine große Anzahl weiterer Apps für den Mac. Das eingebettete Video zeigt einen derartigen Angriff auf die App Sequel Pro.


Kommentieren

Noch keine Kommentare
Kommentieren

Weitere News zum Thema

AirPower Ladematte geht angeblich doch noch in die Produktion

Während Apple über das Schicksal von AirPower weiterhin schweigt, deutet ein neuer Bericht darauf hin, dass die drahtlose Ladematte inzwischen in die Produktion gegangen ist.

weiter lesen »
Xiaomi Mi AirDots Pro - ein neuer Konkurent für die Apple AirPods

Xiaomi hat gestern drahtlose Ohrhörer unter der Bezeichnung AirDots Pro vorgestellt. Es handelt sich dabei um vollständig drahtlose Ohrhörer mit bis zu 10 Stunden Laufzeit und Noise Canceling Funktion.

weiter lesen »
Apple veröffentlicht Einblick in die Herstellung des iPad Pro 2018

Apple hat einen neuen Supportartikel veröffentlicht, welcher einen Einblick in die Herstellung des iPad Pro 2018 gibt, vermutlich als Reaktion auf Kundenberichte, die im vor Weihnachten gebogene iPad erhalten haben.

weiter lesen »