Mac sempre più vulnerabili ad attacchi Man in the middle

Un numero elevato di applicazioni è a rischio hijacking.



[ZEUS News - www.zeusnews.it - 16-02-2016]

mac vulnerabili sparkle

C'è una vulnerabilità in Sparkle che rende i Mac vulnerabili agli attacchi di tipo man-in-the-middle.

Sparkle è un framework - non prodotto da Apple, ma open source - che facilita il download e l'installazione degli aggiornamenti automatici dei software: per questa sua utilità, sono centinaia le applicazioni che si appoggiano a esso.

La falla in sé è già stata scoperta e corretta a gennaio, ma non tutte le applicazioni hanno integrato le modifiche e, considerato il loro numero elevato, le conseguenze possono essere molto serie.

Perché la falla possa essere sfruttata, il software preso di mira devo non soltanto fare uso di Sparkle ma anche utilizzare un canale HTTP non criptato per ricevere i dati dai server degli aggiornamenti: ciò riduce un po' il numero dei programmi coinvolti, ma non di molto.

Sfruttando la vulnerabilità si può intercettare e manipolare il traffico tra applicazione e server, ma anche aggiungere del codice alla comunicazione: in pratica ciò significa che un intruso potrebbe anche eseguire programmi pericolosi sul Mac della propria vittima.

Come dimostra l'esperto di sicurezza Simone Margaritelli (EvilSocket), è possibile per esempio far credere al Mac che è disponibile una nuova versione dell'applicazione, che verrà quindi (previo consenso dell'utente) scaricata e installata: se questa versione fasulla è farcita di malware, il gioco è fatto.

yo
La dimostrazione preparata da EvilSocket

Tra i software che al momento in cui scriviamo non hanno ancora implementato una correzione ci sono diversi nomi noti come Camtasia, uTorrent, Sketch e Duet Display. VLC, fino a poco fa vulnerabile, con l'ultimo aggiornamento è tornato sicuro.

Ricordiamo che non sono afflitti dal problema le app del Mac App Store.

Sondaggio
Password
Stai creando un nuovo account su un sito. Come sarà la tua password?
Ho una sola password per tutti i miei account
Ho varie password che uso a rotazione quando devo creare un nuovo account
Ho un template per le password che modifico per ogni account
Creo una nuova password, assicurandomi che sia robusta

Mostra i risultati (1778 voti)
Leggi i commenti (12)

In attesa che tutte le applicazioni vengano aggiornate è importante che gli utenti di Mac usino sempre connessioni sicure e non si fidino delle reti Wi-Fi aperte.

Qui sotto, una dimostrazione di come è possibile sfruttare la falla in Sparkle per portare un attacco, usando come bersaglio l'applicazione Sequel Pro.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

{Diego}
Bah, non mi sembra una grande vulnerabilità. Io non accedo mai a reti Wi-Fi libere per aggiornare o connettermi alla banca o a dati importanti perché è possibile che qualcuno possa carpire informazioni. Sono le normali precauzioni che ognuno dovrebbe avere, Windows, Linux, MacOsx, o Android che sia. Invece i sistemi... Leggi tutto
21-2-2016 18:30

{ice}
la sicurezza è data dalla consapevolezza delle debolezze. Gli utenti mac lo preferiscono perchè funziona e basta ignorando completamente il funzionamento e i rischi connessi A questo vi è da aggiungere che la sua diffusione ha attirato negli anni molto piu l'attenzione di hacker capaci di sfruttare le... Leggi tutto
17-2-2016 15:51

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Auto senza pilota, i pro
Immaginiamo un mondo popolato dalle auto di Google: senza pilota, senza sterzo e senza pedali. Qual è il maggior vantaggio? (vedi anche gli svantaggi)
Sarà più comodo viaggiare: non dovremo preoccuparci di guidare e avremo più tempo libero a disposizione.
Potranno spostarsi in auto anche i non vedenti, gli invalidi o in generale le persone non più in grado di guidare.
Si risparmierà carburante grazie all'ottimizzazione: niente accelerazioni o frenate brusche, rispetto dei limiti di velocità e così via.
Con il Gps incorporato ci si smarrirà di meno e non sarà necessario consultare mappe o chiedere indicazioni.
Ci sarà maggiore sicurezza e meno incidenti: niente ubriachi al volante o anziani non più in grado di guidare. Zero distrazioni, zero stanchezza, zero errori del conducente (causa del 90% degli incidenti).
Ci sarà meno traffico: potremo più facilmente condividere un'auto in car sharing che ci venga a prendere e ci porti dove desideriamo andare, trovando parcheggio da sola o rimettendosi a disposizione della comunità.
La casta dei tassisti non avrà più ragione di esistere e sarà finalmente azzerata.

Mostra i risultati (1958 voti)
Maggio 2025
Il cripto-ladro è nella stampante e ruba un milione di dollari
Amazon, la IA ha trasformato la programmazione in una catena di montaggio
Lidar nelle auto: utile per la guida, letale per le fotocamere
Azienda IA in tribunale per il suicidio di un adolescente
Non è proprio legale... ma le sanzioni sono irrisorie
Pirateria, multati in Italia anche gli utenti finali
Bancomat da attivare e complessità digitale
Un ''diritto a riparare'' piccolo, virtuoso e originale
Siti per adulti, la verifica dell'età non avverrà tramite SPID
Gli hard disk in ceramica praticamente indistruttibili di Western Digital
Spagna, prove generali di apocalisse?
LibreOffice agli utenti: è ora di abbandonare OpenOffice
Il progetto che salva i vecchi PC insegnando a installare Linux
Android 16 e lo smartphone diventa un PC
Apocalisse Bitcoin
Tutti gli Arretrati
Accadde oggi - 30 maggio


web metrics