Vulnerabilidades en Sparkle dejan expuestos a millones de usuarios de Mac

Una serie de vulnerabilidades han sido descubiertas en el framework Sparkle, utilizado por muchas aplicaciones de terceros para Mac OS X. Estas permiten realizar ataques man-in-the-middle sobre las víctimas, que solo tienen que ejecutar una aplicación construida con una versión no segura de ese framework para acabar afectados.

Estas vulnerabilidades afectan a aplicaciones como Camtasia, uTorrent, Duet Display e incluso el mediático VLC, y se pueden explotar a través de una implementación inadecuada de Sparkle Updater por parte de los desarrolladores de las aplicaciones.

Según la investigadora Radek, para resultar afectados los usuarios de Mac deben cumplir los siguientes requisitos:

Utilizar una versión anticuada y vulnerable de Sparkle Updater.
Utilizar un canal HTTP no cifrado para recibir información de los servidores que envían las actualizaciones.

Cómo se explota la vulnerabilidad

A la implementación inadecuada del actualizador de Sparkle, hay que sumar el uso de una URL que apunte a un sitio web sin cifrado para comprobar las actualizaciones. Como resultado de estos agujeros, un atacante puede realizar ataques man-in-the-middle para inyectar código malicioso en las comunicaciones entre el servidor y el cliente (la aplicación a actualizar). Esto deja abiertas muchas posibilidades, incluido el control remoto del ordenador por parte del atacante o suplantar las actualizaciones legítimas por software malicioso.

Pruebas de concepto

En el siguiente vídeo se puede ver una prueba de concepto utilizando una versión vulnerable de Sequel Pro.

Otra prueba de concepto es la realizada por el investigador en seguridad Simone Margaritelli, quien ha utilizado una versión antigua de VLC.

¿Quiénes están afectados?

Las vulnerabilidades descubiertas en Sparkle se pueden encontrar en aplicaciones de terceros que están fuera de la App Store, y cuya descarga se recomienda realizar desde el sitio web de la aplicación para evitar problemas.

Entre las aplicaciones afectadas están uTorrent 1.8.7, Camtasia 2.10.4, Sketch 3.5.1 y Duet Display 1.5.2.4. La lista completa se puede comprobar desde aquí, y lo único que se puede recomendar a los usuarios es actualizar a la última versión de cada una de esas aplicaciones, y sobre todo realizar dicha actualización desde una conexión segura (nada de Wi-Fi públicas).

El principal problema lo tienen los desarrolladores

Quizá el principal problema lo tienen los desarrolladores. Aunque Sparkle ya ha suministrado el parche para corregir estos errores, aplicarlo no es tan sencillo como aparenta.

Estos son los pasos que los desarrolladores tendrán que seguir para corregir el problema:

Descargar la última versión de Sparkle Updater.
Comprobar si la última versión de Sparkle es compatible con la aplicación creada.
Crear algunos casos de prueba, verificar las actualizaciones, entre otras pruebas.
Corregir el problema de seguridad y publicar la nueva versión de la aplicación.

¿Qué es Sparkle?

Sparkle es un framework de código abierto que se publica en GitHub bajo licencia MIT, y se mantiene gracias a la ayuda de muchas personas que contribuyen a él. Soporta OS X desde la versión 10.7 hasta las 10.11, y Xcode desde las versiones 5.0 hasta la 7.0.

Fuente: muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -