Wie aus einer Videodemonstration hervorgeht, haben viele Mac-Apps mit integriertem Update-Mechanismus ein potenzielles Sicherheitsproblem, wenn sie hierbei auf das Sparkle-System setzen. Im Zusammenhang mit unverschlüsselten Verbindungen und der ungesicherten Darstellung der Update-Beschreibung mithilfe von WebKit lassen sich Schädlinge einschleusen. Dazu muss der Angreifer nur in einem öffentlichen Netzwerk mit Internet-Zugang wie beispielsweise in einem Café oder im Zug die Update-Server der jeweiligen App nach dem Man-in-the-Middle-Prinzip mit eigenen Servern überlagern, die dann schädliche Programme verteilen und ausführen.


Details
Einem Angreifer ist es so letztendlich möglich, das System samt aller Daten zu übernehmen und über das Internet fernzusteuern. Die Sicherheitsforscher zeigen anhand von VLC, µTorrent und Sequel Pro, dass der Angriff nicht nur rein theoretischer Natur ist. Die Entwickler von VLC haben bereits reagiert und ein entsprechendes Update veröffentlicht. Neben regelmäßigen Aktualisierungen aller Apps sollten aber Nutzer noch weitere Maßnahmen ergreifen, um einen derartigen Angriff zu vermeiden.

Wie man sich schützen kann
So empfiehlt es sich beispielsweise, nur über die eigene private Internet-Verbindung alle Updates herunterzuladen und zu installieren. Mögliche Automatismen bei der Update-Installation sollten in der jeweiligen App daher gegebenenfalls auch deaktiviert werden, um die ungewollte Installation über ein öffentliches Netzwerk zu verhindern.

Alternativ kann man auch von der Verwendung betroffener Apps in öffentlichen Netzwerken absehen, wenn noch kein aktuelles Update erschienen ist. Um eine Übersicht über alle Apps mit dem Sparkle-System zu erhalten, kann man den folgenden Terminal-Befehl verwenden:


Achtung: Gelistet werdet alle potenziell gefährdeten Apps. Ob diese tatsächlich eine Sicherheitslücke aufweisen, lässt sich aus der Liste nicht ermitteln. Entscheidend ist vielmehr, ob Apps ihre Update-Informationen über eine unverschlüsselte Verbindung beziehen.