Home » Apps » Framework Sparkle: Viele Mac-Apps können gehackt werden

Framework Sparkle: Viele Mac-Apps können gehackt werden

Das Magazin Ars Technica berichtet von einem potenziellen Einfallstor für Hacker auf dem Mac. Applikationen, die nicht im Mac App Store gehostet sind, sondern mit dem Framework Sparkle auskommen, seien demnach unsicher. Über Sparkle können Entwickler ihre Apps auch ohne den Mac App Store mit automatischen Updates versorgen – wenn der Updateserver allerdings ohne die Verschlüsselungstechnik https aufwartet, könnten Hacker eine Man-in-the-Middle Attacke ausüben.

It involves the way Sparkle interacts with functions built into the WebKit rendering engine to allow JavaScript execution. As a result, attackers with the ability to manipulate the traffic passing between the end user and the server—say, an adversary on the same Wi-Fi network—can inject malicious code into the communication.

Wieviele Apps genau davon betroffen sind, ist unklar. Sicherheitsforscher sprechen von einer „hohen Anzahl“. Unter anderem das populäre Programm DuetDisplax oder eine ältere Version vom VLC Player seien mit dabei.

Nutzern wird geraten, sobald ein Update für die Apps verfügbar ist, dieses schnellstmöglich durchzuführen. Das dürfte allerdings noch ein paar Tage dauern.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Philipp Tusch
twitter Google app.net mail

23 Kommentare zu dem Artikel "Framework Sparkle: Viele Mac-Apps können gehackt werden"

  1. Steven 10. Februar 2016 um 08:37 Uhr ·
    Ich verstehe auch nicht warum Apple den Mac AppStore so vernachlässigt :( … Kaum Apps und jetzt auch noch kaum Sicherheit ..
    iLike 3
    • Exzellent 10. Februar 2016 um 09:35 Uhr ·
      Es geht um die Sicherheit außerhalb des AppStore, über Programme die von Webseiten herunter geladen werden
      iLike 18
    • Einfachkoch 10. Februar 2016 um 09:53 Uhr ·
      Es geht um Apps, die NICHT aus dem Mac App Store stammen!
      iLike 8
    • BeardMan 10. Februar 2016 um 10:00 Uhr ·
      Es handelt sich um Apps, die nicht über den Mac App Store geladen werden! Die Apps aus dem Mac App Store sind nicht betroffen.
      iLike 2
    • zarabeeck 10. Februar 2016 um 10:06 Uhr ·
      Es geht hier um Apps welche NICHT aus dem Mac Appstore geladen und installiert wurden?!
      iLike 4
    • RS 10. Februar 2016 um 12:46 Uhr ·
      Ich hab das jetzt noch nicht genau verstanden? Kann mir das nochmal jemand erklären wo die Apps herkommen? Aus dem Mac AppStore oder?
      iLike 13
    • Keck 10. Februar 2016 um 13:10 Uhr ·
      Es geht hierbei um Apps, die NICHT über den AppStore geladen werden!!
      iLike 3
    • Davis2 10. Februar 2016 um 13:12 Uhr ·
      Es geht um Apps, die über das Internet geladen werden
      iLike 0
    • Mock 10. Februar 2016 um 19:47 Uhr ·
      Es geht hier nicht um Apps aus dem Store
      iLike 0
  2. Garni 10. Februar 2016 um 08:49 Uhr ·
    Noch nie gehört, noch nie benutzt, noch nie gebraucht…
    iLike 8
    • RS 10. Februar 2016 um 12:48 Uhr ·
      Woher weißt du welche Frameworks deine Programme verwenden?
      iLike 4
  3. Exzellent 10. Februar 2016 um 09:01 Uhr ·
    Wie kann man den überprüfen ob für Apps ein Update verfügbar ist ? Bzw. wie kann man das bei alles gleichzeitig prüfen ? „Sudo update“ Oder sudo apt-get Update ? Weil bei mir automatische updates immer deaktiviert habe
    iLike 1
    • hnk24211 10. Februar 2016 um 10:30 Uhr ·
      Vor allem könnte ein angebotenes Update ja schon ein Angriffsversuch sein…
      iLike 2
      • Exzellent 10. Februar 2016 um 12:34 Uhr ·
        Genau das dachte ich auch. Das der Angriff erst mit dem Update geladen wird
        iLike 2
    • aledjones 10. Februar 2016 um 13:24 Uhr ·
      Also mit apt-get kommst du auf dem Mac nicht sehr weit… ? Also ich kenne leider keinen komfortableren Weg als alle Anwendungen zu öffnen und dort nach einem „Update suchen“ Button Ausschau zu halten… ?
      iLike 1
      • Exzellent 10. Februar 2016 um 16:05 Uhr ·
        Bin von Ubuntu umgestiegen letzte Woche und da viel auf Debian basiert dachte ich das würde auch gehen
        iLike 0
  4. StefanE 10. Februar 2016 um 10:02 Uhr ·
    Es geht um Apps, die außerhalb des MacAppStores vertrieben werden – hier wird oft auf Sparkle gesetzt, um auf Updates zu überprüfen bzw. diese automatisch zu installieren. Prominentestes Beispiel (wie im Artikel auch genannt) ist der VLC Mediaplayer.
    iLike 1
  5. Halb&Halb 10. Februar 2016 um 10:03 Uhr ·
    Hoffe ‚1 Password‘ ist nicht dabei. Ich habe diese App nicht über den Store bezogen. Gab es damals sehr preiswert, über die offizielle Webseite, zu Parallels Desktop dazu.
    iLike 0
    • BeardMan 10. Februar 2016 um 10:17 Uhr ·
      Nein, 1Password ist nicht dabei.
      iLike 1
  6. hnk24211 10. Februar 2016 um 10:33 Uhr ·
    Das Problem ist, dass ein nun angebotenes Update bereits ein Angriffsversuch sein kann…von daher wäre es meiner Meinung nach wahrscheinlich am besten, das Update aus einer vertrauenswürdigen Stelle zu beziehen (bspw. Herstellerseite https-gesichert), nachdem man einen Hinweis auf ein zur Verfügung stehendes Update bekommen hat…
    iLike 2
  7. inu 10. Februar 2016 um 12:02 Uhr ·
    Apps außerhalb des AppleStores beziehen? Geht das auch für das iPad? HABEN, HABEN, HABEN !!!
    iLike 0
    • Danny 10. Februar 2016 um 13:01 Uhr ·
      1. nein, zum Glück nicht, nicht ohne Jailbreak… 2. wie dumm bist du eigentlich?
      iLike 1
  8. Steve 11. Februar 2016 um 00:13 Uhr ·
    Wenn Apple den Mac Store besser pflegen und attraktiver für die Programmierer und Entwickler gestalten würde, dann gäbe es dort auch mehr und sinnvolle bzw. nützliche Apps. So geschehen müssten nicht die meisten Anwender Programme und Apps ausserhalb laden, und wären nicht diesem Risiko ausgesetzt, welches letztlich nicht nur dem Anwender, sondern auch dem Untenehmen indirekt schadet, selbst wenn sie damit direkt gar nichts zu tun haben. Der Mac Store mag sicher sein, fristet aber ein trauriges Dasein, und erinnert ein wenig an den von MS; 90% Müll, 8% teilen sich unbrauchbar, lieblos oder zu teuer, und die 2% sind Standard-Apps. Für den Rest muss man sich daher außerhalb umsehen. Das das auf Dauer früher oder später zum Risiko wird war abzusehen…
    iLike 1

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.