Veel apps op de Mac gebruiken dezelfde manier om updates naar ons toe te brengen en die automatisch te downloaden. Dat gebeurt met Sparkle, een open source framework.

Het probleem is dat er nu een paar beveiligingslekken ontdekt zijn in Sparkle, waardoor dat onder andere kwetsbaar zou zijn voor een man-in-the-middle attack. Zo'n hack kan alleen gedaan worden door iemand die op hetzelfde netwerk zit als jij, als jij alleen via jouw eigen netwerk verbinding maakt is er dus nauwelijks risico. In de video hieronder kan je zien hoe zo'n aanval in zijn werk gaat.



De lijst van apps die gebruik maakt van Sparkle is héél erg lang, op deze pagina van GitHub zijn er heel erg veel te vinden, en daarbij zitten erg veel bekende apps als AdwareMedic, VLC, Transmission, DuetDisplay + en TeamViewer.

Er is een makkelijk manier om te kijken welke apps op jouw Mac Sparkle gebruiken, kopieer de code hieronder en plak die in Ternimal. Het duurt dan even voordat ze verschijnen, Terminal zoekt door alle apps op jouw Mac, de zoektocht is klaar als de naam van jouw Mac onderaan verschijnt met een dollarteken er achter.

find /Applications -name Sparkle.framework

Het probleem was onder andere dat Sparkle de informatie die je bij een update te zien krijgt, en waarin je kan zien wat er allemaal nieuw is, van een website afhaalt. En dat gebeurde niet met het veilige https, maar het standaard http. Inmiddels is er een update voor Sparkle uitgekome waar dit probleem (en een andere) verholpen is, en deze week kwam er bijvoorbeeld al een update van VLC uit waarin dit probleem al gecorrigeerd is.

Wil je helemaal zeker zijn dat je hier geen problemen mee krijgt, dan kan je in alle apps op jouw Mac die Sparkle voor de updates gebruiken de optie voor automatisch updaten uitzetten. Eventuele updates kan je dan zelf op de site van de ontwikkelaar ophalen.

In het draadje op GitHub is ook een jonge ontwikkelaar die uitlegt dat het voor een student met weinig of geen geld erg duur is om ieder jaar weer voor het https certificaat te betalen. Maar heel erg veel van de apps die Sparkle gebruiken zouden makkelijk in de Mac App Store kunnen staan, en Apple zou dan de beveiliging en distributie op zich nemen.

Hopelijk komt Apple met oplossingen om de bezwaren die ontwikkelaars tegen de Mac App Store hebben op te lossen, zoals het ontbreken van een mogelijkheid om geld te vragen voor updates. Wil je meer lezen over deze hacks van Sparkle, dat kan op deze pagina van Ars Technici.

Nog een goed commando is (iets overzichtelijker resultaat):
find /Applications -name Sparkle.framework

Apps bij mij met een update waarin wordt vermeld dat ze kwetsbaar waren:
Sequel Pro
Dash

En ik zag dat Brett voor Marked in zijn laatste update http vervangen had in https

@ Feek: was die code ook tegengekomen maar had die nog niet getest.

Net wel gedaan, en die bevalt beter, dus de code die eerst in het nieuwsbericht stond vervangen voor die 'van jou'.

Word inderdaad veel gebruikt.
Ik vind het 34 keer terug op mijn computer.
Hopelijk helpt Apple zelf om dit op te lossen.

@ jef: Apple heeft hier toch helemaal niets mee te maken?

Het biedt toch al de Mac App Store aan als oplossing?

Bij mij 33 stuks, ben nu bezig ze met de hand een upgrade te geven (of weg te gooien, want zitten er ook wel een paar bij die ik niet meer nodig heb).

Hier 18 apps, onder ander ook MBAM for Mac & Cookie  

Om onnodig verwijderen en aanpassen te voorkomen:

De aanwezigheid van Sparkle en een lagere versie dan 1.13.1 wil nog niet zeggen dat er dan een probleem is.

Een probleem ontstaat pas als EN het versienummer is lager dan 1.13.1 EN bij SUFeedURL in de Info.plist van een App staat een http link (dus geen beveiligde https link). Bovendien moet je ook nog in een onveilige netwerkomgeving zijn wil het misbruikt kunnen worden!

(kwam toevallig tegen) Er komt binnenkort een MBAM for Mac update, voor een veilig MBAM download link  >>  zie link in bericht # 4 van Thomas Reed.