Framework Sparkle: Viele Mac-Apps können gehackt werden

Das Magazin Ars Technica berichtet von einem potenziellen Einfallstor für Hacker auf dem Mac. Applikationen, die nicht im Mac App Store gehostet sind, sondern mit dem Framework Sparkle auskommen, seien demnach unsicher. Über Sparkle können Entwickler ihre Apps auch ohne den Mac App Store mit automatischen Updates versorgen – wenn der Updateserver allerdings ohne die Verschlüsselungstechnik https aufwartet, könnten Hacker eine Man-in-the-Middle Attacke ausüben.

It involves the way Sparkle interacts with functions built into the WebKit rendering engine to allow JavaScript execution. As a result, attackers with the ability to manipulate the traffic passing between the end user and the server—say, an adversary on the same Wi-Fi network—can inject malicious code into the communication.

Wieviele Apps genau davon betroffen sind, ist unklar. Sicherheitsforscher sprechen von einer „hohen Anzahl“. Unter anderem das populäre Programm DuetDisplax oder eine ältere Version vom VLC Player seien mit dabei.

Nutzern wird geraten, sobald ein Update für die Apps verfügbar ist, dieses schnellstmöglich durchzuführen. Das dürfte allerdings noch ein paar Tage dauern.

Sonos: Apple Music-Unterstützung ab heute offiziell

BookArc Stand von Twelve South – nun auch für das 12″ MacBook

23 Gedanken zu „Framework Sparkle: Viele Mac-Apps können gehackt werden“

Steven

10. Februar 2016 um 08:37 Uhr

Ich verstehe auch nicht warum Apple den Mac AppStore so vernachlässigt :( … Kaum Apps und jetzt auch noch kaum Sicherheit ..
- Exzellent
  
  10. Februar 2016 um 09:35 Uhr
  
  Es geht um die Sicherheit außerhalb des AppStore, über Programme die von Webseiten herunter geladen werden
- Einfachkoch
  
  10. Februar 2016 um 09:53 Uhr
  
  Es geht um Apps, die NICHT aus dem Mac App Store stammen!
- BeardMan
  
  10. Februar 2016 um 10:00 Uhr
  
  Es handelt sich um Apps, die nicht über den Mac App Store geladen werden! Die Apps aus dem Mac App Store sind nicht betroffen.
- zarabeeck
  
  10. Februar 2016 um 10:06 Uhr
  
  Es geht hier um Apps welche NICHT aus dem Mac Appstore geladen und installiert wurden?!
- RS
  
  10. Februar 2016 um 12:46 Uhr
  
  Ich hab das jetzt noch nicht genau verstanden? Kann mir das nochmal jemand erklären wo die Apps herkommen? Aus dem Mac AppStore oder?
- Keck
  
  10. Februar 2016 um 13:10 Uhr
  
  Es geht hierbei um Apps, die NICHT über den AppStore geladen werden!!
- Davis2
  
  10. Februar 2016 um 13:12 Uhr
  
  Es geht um Apps, die über das Internet geladen werden
- Mock
  
  10. Februar 2016 um 19:47 Uhr
  
  Es geht hier nicht um Apps aus dem Store
Garni

10. Februar 2016 um 08:49 Uhr

Noch nie gehört, noch nie benutzt, noch nie gebraucht…
- RS
  
  10. Februar 2016 um 12:48 Uhr
  
  Woher weißt du welche Frameworks deine Programme verwenden?
Exzellent

10. Februar 2016 um 09:01 Uhr

Wie kann man den überprüfen ob für Apps ein Update verfügbar ist ? Bzw. wie kann man das bei alles gleichzeitig prüfen ? „Sudo update“ Oder sudo apt-get Update ? Weil bei mir automatische updates immer deaktiviert habe
- hnk24211
  
  10. Februar 2016 um 10:30 Uhr
  
  Vor allem könnte ein angebotenes Update ja schon ein Angriffsversuch sein…
  - Exzellent
    
    10. Februar 2016 um 12:34 Uhr
    
    Genau das dachte ich auch. Das der Angriff erst mit dem Update geladen wird
- aledjones
  
  10. Februar 2016 um 13:24 Uhr
  
  Also mit apt-get kommst du auf dem Mac nicht sehr weit… ? Also ich kenne leider keinen komfortableren Weg als alle Anwendungen zu öffnen und dort nach einem „Update suchen“ Button Ausschau zu halten… ?
  - Exzellent
    
    10. Februar 2016 um 16:05 Uhr
    
    Bin von Ubuntu umgestiegen letzte Woche und da viel auf Debian basiert dachte ich das würde auch gehen
StefanE

10. Februar 2016 um 10:02 Uhr

Es geht um Apps, die außerhalb des MacAppStores vertrieben werden – hier wird oft auf Sparkle gesetzt, um auf Updates zu überprüfen bzw. diese automatisch zu installieren. Prominentestes Beispiel (wie im Artikel auch genannt) ist der VLC Mediaplayer.
Halb&Halb

10. Februar 2016 um 10:03 Uhr

Hoffe ‚1 Password‘ ist nicht dabei. Ich habe diese App nicht über den Store bezogen. Gab es damals sehr preiswert, über die offizielle Webseite, zu Parallels Desktop dazu.
- BeardMan
  
  10. Februar 2016 um 10:17 Uhr
  
  Nein, 1Password ist nicht dabei.
hnk24211

10. Februar 2016 um 10:33 Uhr

Das Problem ist, dass ein nun angebotenes Update bereits ein Angriffsversuch sein kann…von daher wäre es meiner Meinung nach wahrscheinlich am besten, das Update aus einer vertrauenswürdigen Stelle zu beziehen (bspw. Herstellerseite https-gesichert), nachdem man einen Hinweis auf ein zur Verfügung stehendes Update bekommen hat…
inu

10. Februar 2016 um 12:02 Uhr

Apps außerhalb des AppleStores beziehen? Geht das auch für das iPad? HABEN, HABEN, HABEN !!!
- Danny
  
  10. Februar 2016 um 13:01 Uhr
  
  1. nein, zum Glück nicht, nicht ohne Jailbreak… 2. wie dumm bist du eigentlich?
Steve

11. Februar 2016 um 00:13 Uhr

Wenn Apple den Mac Store besser pflegen und attraktiver für die Programmierer und Entwickler gestalten würde, dann gäbe es dort auch mehr und sinnvolle bzw. nützliche Apps. So geschehen müssten nicht die meisten Anwender Programme und Apps ausserhalb laden, und wären nicht diesem Risiko ausgesetzt, welches letztlich nicht nur dem Anwender, sondern auch dem Untenehmen indirekt schadet, selbst wenn sie damit direkt gar nichts zu tun haben. Der Mac Store mag sicher sein, fristet aber ein trauriges Dasein, und erinnert ein wenig an den von MS; 90% Müll, 8% teilen sich unbrauchbar, lieblos oder zu teuer, und die 2% sind Standard-Apps. Für den Rest muss man sich daher außerhalb umsehen. Das das auf Dauer früher oder später zum Risiko wird war abzusehen…

Die Kommentare sind geschlossen.

Framework Sparkle: Viele Mac-Apps können gehackt werden

Weitere Artikel

100% mehr! Prime Video verdoppelt die Werbung pro Stunde

Das Spiel geht weiter: Apple sperrt iOS 26-Features für EU-Nutzer

Das seht ihr bei Prime Video im Juli 2025