Vulnerabilidade em sistema de updates põe inúmeros apps para Mac sob risco

Quando você baixa algum aplicativo da Mac App Store, tem a tranquilidade de ele ter sido verificado pela Apple e de usar os próprios servidores e sistema de autenticação dela para realizar a instalação inicial e futuros updates. Por fora da loja, inúmeros apps utilizam um prático sistema de updates chamado Sparkle.

Pois o blog Vulnerable Security destacou recentemente uma grave falha de segurança no Sparkle que atinge inúmeros apps para Mac, incluindo nomes conhecidos como Adium, Camtasia, Coda, Duet Display, Sequel Pro (demonstrado no vídeo abaixo), Sketch e VLC.

Conforme mostra a captura de tela, a brecha permite ataques do tipo MITM (man-in-the-middle) na framework de atualizações do Sparkle. Com isso, crackers podem executar códigos maliciosos remotamente no momento em que o usuário busca por updates de um desses apps — tanto no OS X Yosemite quanto no El Capitan, por sinal.

A boa notícia é que nem todos os apps que utilizam o Sparkle estão sucetíveis à vulnerabilidade, apenas os que buscam por updates via HTTP (e não via HTTPS, com conexão criptografada). Além disso, com a descoberta da brecha vários desenvolvedores já correram para disponibilizar novas versões corrigidas. Neste caso, o recomendável é baixá-las diretamente pelos sites oficiais dos aplicativos a fim de não correr nenhum risco.

Lembrando que não há com o que se preocupar caso você só baixe updates diretamente da Apple, via Mac App Store.

[via Ars Technica]

  • Pra quem tem um bom firewall protegendo tudo que “entra” e “sai” do Mac também tá de boa. Aplicativos como o Little Snitch cumprem com maestria essa segurança.

  • Antonio Fonseca

    Mais um bom motivo para preferir apps distribuídas pela MAS. E parar usar o Gatekeeper na configuração default.

  • paulobr

    O meu nunca fica no default, sempre mudo para: “Qualquer lugar” ^-^

  • Vale ressaltar que partir do El Capitan por padrão os apps são proibidos pelo sistema de fazer chamadas HTTP, só HTTPS funciona. Para funcionar HTTP o desenvolvedor precisa solicitar isso explicitamente mas é totalmente não recomendado pela Apple.

  • Antonio Fonseca

    Pois não deveria. Mesmo que você precise instalar uma App que não é assinada por um certificado digital emitido pela Apple (recomendo que procure uma App alternativa e só em último caso instale uma App sem desenvolvedor identificado), você pode deixar o Gatekeeper na configuração default e comandar a instalação da App não assinada apenas pressionando a tecla Control enquanto clica com o botão direito do mouse e selecione Abrir. Será exibida uma mensagem perguntando se você autoriza a instalação.

  • paulobr

    A mensagem de que o App foi baixado da internet aparece para todos os App sem a assinatura, independente da configuração. Então, no final das contas não dá tanta diferença.

    E eu acho louvável todos os esforços da Apple (ou qualquer empresa) com a segurança, mas enquanto não tem praticamente nenhum software malicioso para mac (e claro, não baixo Apps de qualquer canto) não vejo muita necessidade em todo esse bloqueio.

    Mas agradeço a dica! 🙂
    Não conhecia essa opção.

  • Paulo Magrani

    Galera, help!!! alguém com o mesmo problema?
    Meu iMac 21,5″ modelo 11,2 está com a tela cinza com um ícone de uma pasta com uma interrogação… Simplesmente parou de reconhecer o HDD e o sistema. Comprei um pendrive para tentar instalar o El Captain via Internet Recovery mas o download da instalação trava!!!

  • Paulo Magrani

    Meu iMac 21,5′ 11,2 está com ata cinza e o ícone de uma pasta com ponto de interrogação. Perdeu o OSX e não reconhece mais o HDD
    Está critica a minha situação!!!

  • Antonio Fonseca

    Significa que o iMac não está conseguindo iniciar o sistema por não conseguir acessar o disco ou partição de inicialização. Pode ser um problema lógico ou físico na unidade. No seu caso recomendo entrar em contato com o suporte da Apple, identificar a Loja da Apple ou Centro de Serviço Autorizado mais próximo é pedir ajuda.

  • Paulo Magrani

    O que acha de eu abrir o iMac por conta própria e substituir o HDD. iMac é mid 2010.
    Sem garantia e sem suporte!
    O Suporte me atendeu só porque foi uma atualização programada do OSX e minha conexão atual é instável e lenta!
    O iMac reconheceu dois backups do time machine “antigos” (Snow e Macericks) de unidades externas mas como o HDD “sumiu” ou “queimou” não consigo restaurar por esse caminho!

    Imagina quanto custaria este reparo na AASP?

  • Antonio Fonseca

    Paulo, tudo vai depender do seu nível de conhecimento e do que você deseja.

    O fato do seu iMac estar fora da Garantia Limitada Apple de 1 ano não impede que ele seja atendida nas lojas da Apple ou num AASP. Se o seu HDD queimou, é preciso além de trocar, investigar a razão disso e os técnicos podem te ajudar nesse processo pra evitar que você tenha ainda mais prejuízo.

    Eu consultaria um AASP mais próximo ou um Genius.

Aviso: nossos editores/colunistas estão expressando suas opiniões sobre o tema proposto e esperamos que as conversas nos comentários sejam respeitosas e construtivas. O espaço acima é destinado a discussões, debates sobre o tema e críticas de ideias, não às pessoas por trás delas. Ataques pessoais não serão tolerados de maneira nenhuma e nos damos ao direito de ocultar/excluir qualquer comentário ofensivo, difamatório, preconceituoso, calunioso ou de alguma forma prejudicial a terceiros, assim como textos de caráter promocional e comentários anônimos (sem nome completo e/ou email válido). Em caso de insistência, o usuário poderá ser banido.

O MacMagazine faz parte do grupo iMasters, mantido pelas seguintes empresas: