Varios investigadores y auditores de seguridad informática han identificado algunas vulnerabilidades importantes en el sistema de actualización Sparkle de algunas aplicaciones como uTorrent, Camtasia o Sketch que puede hacer que algunos usuarios estén expuestos vulnerabilidades y ataques del tipo man-in-the-middle.
Según los investigadores, el problema reside en que Sparkle, el sistema de actualización de muchas apps, utiliza canales HTTP sin cifrar para enviar comprobaciones y recibir actualizaciones, algo que permite la inyección de código malicioso en su máquina, y por extensión, darle al atacante la posibilidad de controlar el Mac atacado sin necesidad de acceder de forma física a él.
Muchas apps que usan Sparkle exponen al usuario a ataques
Entre la lista de apps afectadas se incluyen las versiones de Camtasia 2 v2.10.4, DuetDisplay v1.5.2.4, uTorrent v1.8.7, y Sketch v3.5.1., aunque puede haber otras apps menores que utilizan Sparkle y que pueden ser vulnerables. Eso sí, aunque este es un sistema muy utilizado por muchas app para Mac, solo aquellas que usan versiones previas a la v.1.13.1 son las que cargan archivos a través de HTTP sin cifrar.
Por desgracia, lo que único que puede hacer es esperar o cambiar la aplicación, puesto que el problema solo puede ser solucionado por los desarrolladores, que necesitan actualizar Sparkle dentro de sus apps, algo que no es trivial, y que depende de la complejidad de la aplicación, de su tamaño y activos internos.