Una nuova falla di sicurezza colpisce le app che usano il sistema di aggiornamenti Sparkle

Leggi questo articolo grazie alle donazioni di Roberto Pinna, Alberto Sabbatini, Mirko Viadana, Daniele Mora.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Oggi quasi tutti siamo cittadini del web. Navighiamo in rete, inviamo e riceviamo mail, sfruttiamo i tanti social network a nostra disposizione, ma spesso ci dimentichiamo che non è tutto oro quel che luccica. Usare Internet è relativamente semplice, oggi lo facciamo con naturalezza, senza più curarci dei pericoli che spesso e volentieri si nascondono dietro l’angolo. Bug, attacchi da parte di hacker, problemi a server si verificano ormai sempre più frequentemente, minacciando così la sicurezza dei nostri dati.

Radek, un ricercatore che si occupa di sicurezza informatica, ha individuato un’importante falla in Sparkle, un framework open-source utilizzato dagli sviluppatori per automatizzare gli aggiornamenti dei loro software. Implementare Sparkle Updater (questo è il nome completo) è molto semplice per i developer e il suo funzionamento non è niente di particolare. Il programma, infatti, si collega al cosiddetto update server del framework, ufficialmente denominato “AppCast server”, e questo, grazie a un protocollo simile al formato RSS, invia dei flussi che consentono di verificare periodicamente la presenza di aggiornamenti. L’utente riceve così una notifica che lo avvisa della disponibilità di una nuova versione del software e può procedere al download e all’installazione.

Sparkle

ArsTechnica spiega che una falla nell’implementazione del motore WebKit (lo stesso al cuore di Safari) integrato in Sparkle potrebbe essere sfruttata dai malintenzionati per accedere ai software, eseguendo dei codici JavaScript mentre l’utente verifica la disponibilità di aggiornamenti. Ma come vengono sferrati questi attacchi? A rispondere alla domanda ci ha pensato lo stesso Radek, notando che le informazioni relative agli aggiornamenti sono inviate tramite messaggi XML che sfruttano il protocollo HTTP, il quale però è poco sicuro (al contrario di HTTPS che prevede misure apposite rafforzative). Il ricercatore, infatti, ha scoperto che è possibile eseguire un attacco di tipo “Man In The Middle”, evidenziando la possibilità di cambiare il contenuto dei messaggi XML per inserire codice malevolo. Con questo tipo di attacco sarebbe quindi possibile comprometterebbe l’OS, portando l’utente a installare aggiornamenti da server modificati ad hoc. Infine, è stato scoperto che a causa di questa falla è possibile forzare il meccanismo per allocare grandi quantità di memoria durante un aggiornamento causando potenzialmente il blocco del Mac della vittima.

Gli sviluppatori di Sparkle, comunque, stanno lavorando per risolvere il problema e hanno già creato una patch, la quale è inclusa nella versione 1.13.1 del framework resa disponibile agli sviluppatori tramite GitHub. Il bug, ovviamente, riguarda OS X laddove ci siano applicazioni di terze parti che sfruttano questa piattaforma di aggiornamenti. Una lista dei software coinvolti dalla vulnerabilità non è al momento disponibile, tuttavia sappiamo che ci sono alcune app famose, tra cui VLC, Evernote e Fantastical. Per questioni più tecniche e per capire se un’app utilizzata quotidianamente è a rischio o no vi rimandiamo al sito di Radek.

Giovanni Scionti

Junior Editor

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.