Groot aantal OS X-apps onveilig door Sparkle, check je apps

34 reacties

Er is een beveiligingsprobleem in het Sparkle Framework ontdekt. Mac-apps die buiten de App Store om verkrijgbaar zijn -zoals VLC, uTorrent, TeamViewer en Sketch- gebruiken dit om updates af te handelen. Sparkle blijkt vatbaar voor een man-in-the-middle-aanval.

Door deze aanval kunnen kwaadwillenden via Sparkle kwaadaardige versies van apps als update aanbieden en zo bijvoorbeeld gegevens stelen. Ze moeten dan wel met hetzelfde (Wi-Fi) netwerk verbonden zijn.

Oude versie Sparkle kwetsbaar

Een oude versie van het Sparkle framework werkt via http en controleert niet of aangeboden updates authentiek zijn. Een tweede probleem is dat vanuit de sectie met informatie over de update javascript uitgevoerd kan worden en zo commando’s op het systeem uitgevoerd kunnen worden. De kwetsbaarheden zijn door Sparkle al een tijdje geleden verholpen, maar veel applicaties gebruiken nog een oude versie van het framework
sparkle-screenshot-1

Check kwetsbare apps

Checken of je apps met een kwetsbare versie van Sparkle hebt is eenvoudig. Open de terminal en voer het onderstaande commando uit. Er verschijnt nu een lijst met versienummers. Applicaties met een versie lager dan 1.13.1 (dus 1.6.x en 1.8.x ook, het telt verder dan 10) zijn kwetsbaar. Grote apps als VLC zijn inmiddels begonnen met het updaten van het framework.
find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

Dit kun je doen

Een man-in-the-middle-aanval werkt alleen als een derde partij je (Wi-Fi) verbinding kan beïnvloeden. Het risico op infectie is daarom ook laag, maar neem deze maatregelen in acht:

  • Update geen apps via openbare Wi-Fi netwerken, alleen je eigen netwerk.
  • Bezoek de website van de fabrikant en installeer een nieuwe versie van kwetsbare apps (check dit via bovenstaande methode).
  • Apps uit de Mac App Store zijn veilig.

Dit is niet de fout van Apple of de maker van de apps. Sparkle is een externe oplossing die ontwikkelaars kunnen gebruiken om updaten makkelijk te maken. Technische details zijn in deze blogpost van de ontdekker van de zwakheid te vinden.

Reacties

34 reacties
  • Profielfoto
    MEEUW

    2016, we zijn er nog lang niet.
    Check je apps… Dat is een partij werk…

    Hoe kan het dat de software maker(s) niet hun verantwoordelijkheid pakken en openbare lijst online zet. Met daarbij behorende link naar speciale download pagina van software maker zelf.

    Maak er maar weer gebruikers probleem van. Die hebben toch tijd zat.
    Vroeger kocht je een computer om te werken, of hobby dingen te doen.
    tegenwoordig moet je halve dag in week vrijhouden om je computer en ict zaken te onderhouden.
    Laat ik nog maar niet over de printer beginnen die vaak dienst weiger.

  • Profielfoto
    Shmoo

    Ik heb er drie gevonden op mijn computer.

    1. Astropad
    2. ImageOptim
    3. VLC

    .
    Edit.
    wacht even, dus alleen als je lager zit dan 1.3?
    Dan is alleen ImageOptim kwetsbaar uit dat lijstje de rest heeft een versienummer groter dan 1.3

  • Profielfoto
    Nicolinden

    Deze ook: bartender 2, betterzip, chitchat en VLC inderdaad

  • Profielfoto
    Usain

    VLC en de software van mijn VPN hahah.

  • Profielfoto
    Nicolinden

    @shmoo nee lager dan 1.13 toch?

  • Profielfoto
    Shmoo

    Dat komt natuurlijk al helemaal niet voor. 1.1.3 Dat moet software zijn die al 25 jaar geen update meer heeft gehad ( lijkt mij ). Ik zie dat VLC namelijk al op 1.6 zit.
    .
    Geen idee hoe dat weer allemaal werkt maar ik neem aan dat als bedrijven hun eigen software updaten dat ze ook even alle frameworks updaten tot de laatste versie week ze insluiten.
    Tenminste dat zou je wel verwachten maar niet elke developer is natuurlijk ook meteen een goede developer.

  • Profielfoto
    floris4970

    Gebruik:

     
    codesign -dvvv /Applications/Programma.app
     

    Om te kijken of een van de programma’s die ‘niet’ veilig zijn nog een codesignature hebben die te vertrouwen is..

  • Profielfoto
    LighScan

    Bij mij:
    * Bittorrent
    * Cyberduck
    * iStumbler
    * smcFanControl
    * Viscosity
    * VLC

    Waarvan kwetsbaar: Cyberduck (v1.11) en Viscosity (v1.11). Al de rest zit op v1.6 en zelfs op v1.8

  • Profielfoto
    feek

    Het is vooral een probleem als de versie lager is dan 1.13.1 en de SUFeedURL in de Info.plist heeft een onveilige http verbinding.
    Dus als er een https verbinding is dan is er volgens mij geen probleem bij een lagere versie.

  • Profielfoto
    Floris

    Hoe kan ik mijn Macbook’s nu veilig stellen??
    Ik heb best wel belangrijke bestanden op mijn laptop staan en heb verschillende app’s die geïnfecteerd zijn…

    AppCleaner.app
    DaisyDisk.app
    Malwarebytes Anti-Malware.app
    VLC.app
    Autoupdate.app (Van Microsoft 2016!)

  • Profielfoto
    SolidCake

    Hey Shmoo,

    Bartender heeft bij mij 1.10.0
    Ik had niet verwacht dat de Macintosh II al leed aan een drukke bovenbalk;)

  • Profielfoto
    feek

    Even ter bevestiging van mijn bovenstaande vermoeden:

    Dash App heeft Sparkle versie 1.11.1 en in de laatste update van Dash naar 3.2.2 van gisteren staat in de changelog: Fixed Sparkle vulnerability

    Dus het is vooral de combinatie van lage versie en http.

    @Floris, de term geïnfecteerd is niet juist, wat wel juist is, is dat je mac mogelijk kwetsbaar is bij updaten.

    @SolidCake Bartender heeft netjes een https verbinding

  • Profielfoto
    LighScan

    @Feek dat blijkt inderdaad juist te zijn, want Viscosity is dus blijkbaar toch niet kwetsbaar, ondanks dat het een lagere versienummer gebruikt. (bron)

  • Profielfoto
    SolidCake

    @feek, dat is geruststellend. Thanks!

  • Profielfoto
    KoenWestendorp

    De NOS heeft in zijn artikel best andeee dingen staan. Zo zeggen ze dat Mac-Apps, waarbij ik er van uit ga dat ze uit de Mac Appstore komen, hier last van hebben en noemen nergens Sparkle. Zucht, ik ga niet eens de moeite nemen om op NU.nl hierover te lezen…

  • Profielfoto
    Shmoo

    Hey Shmoo,

    Bartender heeft bij mij 1.10.0
    Ik had niet verwacht dat de Macintosh II al leed aan een drukke bovenbalk;)

    .
    Bartender is volgens mij best wel een populaire app. Heb je versie 1 of 2 want dat appje is best prijzig en dan mag je toch wel een stukje kwaliteit verwachten.

  • Profielfoto
    Hydræ

    Ik heb alleen OpenEmu in de lijst.
    VLC 2.1.5 gaf geen bericht.

  • Profielfoto
    Shmoo

    Hoe kan ik mijn Macbook’s nu veilig stellen??
    Ik heb best wel belangrijke bestanden op mijn laptop staan en heb verschillende app’s die geïnfecteerd zijn…

    AppCleaner.app
    DaisyDisk.app
    Malwarebytes Anti-Malware.app
    VLC.app
    Autoupdate.app (Van Microsoft 2016!)

    .
    Niet alle apps in dat lijstje zijn meteen gevaarlijk. Je moet naar het versienummer kijken tussen string.
    .
    .

    Als dat het versienummer lager is dan 1.1.3 dan is de software gevaarlijk. Alles hoger maakt niet uit.
    .
    Correct me if I’m wrong.

  • Profielfoto
    SolidCake

    Shmoo,

    Bartender is volgens mij best wel een populaire app. Heb je versie 1 of 2 want dat appje is best prijzig en dan mag je toch wel een stukje kwaliteit verwachten.

    Ik heb Bartender 2. Ik kan ook niet meer zonder. Of het het geld waard is weet ik niet. Hangt ervan af hoe OCD je bent met het net houden van je systeem.

  • Profielfoto
    Niels

    “Anything below version 1.13.1 is potentially affected”

    Bartender 2
    MacPhun Creative Kit 2016 (alle apps) + Aurora HDR
    Duet display
    iMazing
    Malwarebytes Anti-Malware (FAIL!!!)

    VLC is inmiddels gefixt!

  • Profielfoto
    Floris

    Dank voor de reacties. Alleen VLC heeft een nieuwere versie.

    Gister heb ik wel zo’n update gehad zoals in het bericht (een sparkle update) bij AppCleaner. Is dit nu wel of niet gevaarlijk?

    @NielsDam is dacht precies hetzelfde…. een anti-malware die vatbaar is voor dit soort dingen….

  • Profielfoto
    Clarus

    “Anything below version 1.13.1 is potentially affected”

    Bartender 2
    MacPhun Creative Kit 2016 (alle apps) + Aurora HDR
    Duet display
    iMazing
    Malwarebytes Anti-Malware (FAIL!!!)

    VLC is inmiddels gefixt!

    Duet Display werkt ook aan een fix en zal 1.5.3 binnen een week of twee uitbrengen.

  • Profielfoto
    Basket Case

    Even voor de duidelijkheid: versie 1.6.x en 1.8.x en 1.10.x zijn dus allemaal oudere versies dan 1.13.1. De punt in versienummers geeft geen decimalen aan, het is een scheidingsteken.

  • Profielfoto
    Raymon Mens

    @Basket Case: Goede aanvulling. Ik heb dit in het artikel verduidelijkt.

  • Profielfoto
    feek

    Nogmaals, een lagere versie dan 1.13.1 wil nog niet zeggen dat er dan een probleem is.

    Een probleem ontstaat als EN het versienummer is lager dan 1.13.1 EN bij SUFeedURL in de Info.plist van een app staat een http link (dus geen beveiligde https link.

    Bij Bartender staat netjes een https link!

  • Profielfoto
    Night

    Mwoh… Mijn iMac zal niet snel buiten het eigen netwerk komen;-)

  • Profielfoto
    iMac Lover

    Bij mij

    VLC media speler niet
    Wel better touch tool
    Maar ook Malwarebytes Anti-Malware terwijl ik de laatste versie, die available is.

    Ik heb VLC wel geüpdatet ondertussen.

  • Profielfoto
    Raymon Mens

    De NOS heeft in zijn artikel best andeee dingen staan. Zo zeggen ze dat Mac-Apps, waarbij ik er van uit ga dat ze uit de Mac Appstore komen, hier last van hebben en noemen nergens Sparkle. Zucht, ik ga niet eens de moeite nemen om op NU.nl hierover te lezen…

    Oef. Gelukkig gaat het juist niet om apps uit de Mac App Store.

    Nogmaals, een lagere versie dan 1.13.1 wil nog niet zeggen dat er dan een probleem is.

    Een probleem ontstaat als EN het versienummer is lager dan 1.13.1 EN bij SUFeedURL in de Info.plist van een app staat een http link (dus geen beveiligde https link.

    Bij Bartender staat netjes een https link!

    Duidelijk. Ik zal kijken of ik deze nuance nog in het artikel kan maken, maar wil de ‘casual’ lezers eigenlijk niet opzadelen met het checken van plist-bestanden.

  • Profielfoto
    ozzie X

    Maar even goed en wel, als je gewoon thuis op je eigen wifinetwerk de updates doet is er niks aan de hand. De apps zelf zijn veilig zolang je ze maar niet gaat updaten via een openbaar netwerk.

    Sowieso altijd opletten als je op buitendeurse wifi gaat. Als je dat in de gaten houdt, is er op dit moment weinig aan de hand volgens mij.

  • Profielfoto
    PowerMac

    Als ik het goed begrijp, correct me if I’m wrong, gaat dit enkel over gehackt iOS, dus niet over alles dat je via App Store binnenhaalt? Dat wordt namelijk niet echt duidelijk vermeld.

  • Profielfoto
    Vilscon

    Misschien heel naïef, maar..

    “.. Alleen als ze met hetzelfde netwerk verbonden zijn”.

    Los van het feit dat de kans zich altijd voor kan doen. Is die kans niet even groot als het winnen van de loterij? Oftewel.. Paniek om bijna niks?

  • Profielfoto
    paullez

    1 gevonden….. Trim Enabler.app

  • Profielfoto
    BomC

    @PowerMac: je begrijpt het niet goed, het gaat helemaal niet over iOS, alleen over OS X.

  • Profielfoto
    PowerMac

    @BomC: haha, inderdaad, volledig overheen gelezen…