Десятки популярных приложений для компьютеров Mac, подобных как VLC, uTorrent и Transmission, оказались подвержены атаке вида " человек посередине", когда злоумышленник, встав между клиентом и сервером, может перехватить интернет-трафик и завладеть конфиденциальной информацией. В 1-ю очередь, повествование ведется о программах, которые распространяются вне официального магазина Mac App Store.

По данным инженера из организации Vulnsec, известного под ником Radek, в уязвимости виновата ошибка Sparkle Updater — стороннего инструмента, который используется автоматической загрузки обновлений. В случае, если разработчик не выбрал передачу апдейта по защищенному HTTPS-протоколу, его программа может служить лазейкой для хакеров. При этом приложения, загруженные через официальный магазин эппл, опасности не представляют, так как там фреймворк Sparkle не используется.

Ошибка в модуле затрагивает актуальную (El Capitan) и предыдущую (Yosemite) версии OS X. Как сказал Radek, она ставит под опасность безопасность " огромного" числа Mac-приложений, подобных Как Camtasia 2 (версия 2. 10. 4), DuetDisplay (1. 5. 2. 4), uTorrent (1. 8. 7) и Sketch (3. 5. 1). Помимо этого, Sparkle применяют для обновления Carbon Copy Cloner, Cinch, Evernote, Fantastical, Flux, Handbrake, iTerm, Karabiner, Sequel, Pro, Slack, Transmission, VLC, Wine и другие программы.

Однако, какие из них передают данные по незащищенному соединению, точно неизвестно. К примеру, популярный чат-клиент Adium также использует Sparkle, Впрочем шифрует информацию по HTTPS-протоколу. Уязвимость во фреймворке уже устранена, а пользователям рекомендуется наблюдать за обновлениями и устанавливать их при первой возможности.