多くのサードパーティ製 OS X アプリがユーザーに定期的なアップデートを提供するために依存している Sparkle アップデータ フレームワークの古いバージョンで発見された脆弱性が、最近大きな注目を集めています。
火曜日にお伝えしたように、このセキュリティ問題は、Mac App Storeからダウンロードされたアプリではなく、インターネットからダウンロードされたサードパーティ製のMacアプリの一部に影響を及ぼします。この脆弱性は、暗号化された接続の欠如に起因しており、悪意のあるハッカーが中間者攻撃を実行する可能性を秘めています。
しかし、どのOS Xアプリが影響を受けるのでしょうか?これは、Macを潜在的なマルウェアの脅威から守るために、できるだけ早く知っておくべき情報です。
Mac App Storeアプリは影響を受けない
Mac App Store アプリは、十分に暗号化され、ネットワーク トラフィックを安全に維持する Apple 独自の更新メカニズムを通じて更新されるため、この問題の影響を受けないことをまず認識することが非常に重要です。
この問題は、インターネットからダウンロードされた一部のサードパーティ製OS Xアプリ(アプリ開発者自身がホストするウェブサイトなど)にのみ影響します。すべてのアプリが影響を受けるわけではないことも留意してください。影響を受けるのは、Sparkleアップデータフレームワークの古いバージョンを使用しているアプリのみです。
わかりました…では、どのアプリが影響を受けるのでしょうか?
アプリが脆弱性の影響を受けるための要件がこのように多岐にわたることから、どのような種類のアプリが Sparkle アップデータ フレームワークを使用し、どのようなアプリが影響を受ける可能性があるのか疑問に思われるかもしれません。
このシナリオに関する完全なリストは存在しませんが、GitHubに最近追加されたアプリのリストは、Sparkleアップデータフレームワークを使用していることが知られているアプリのユーザーによって定期的に投稿されています。このリストには、Sparkleアップデータフレームワークの古いバージョンと最新のバージョンの両方を使用しているアプリが含まれています。このリストは、どのアプリが脆弱性の影響を受けるかを示しているわけではありませんが、どのアプリに注意を払うべきかを判断するための出発点となります。
この脆弱性の影響を受けることがわかっているアプリは次のとおりです。
- Camtasia 2(バージョン 2.10.4)
- DuetDisplay(バージョン1.5.2.4)
- スケッチ(バージョン3.5.1)
- uTorrent(バージョン1.8.7)
…しかし、リストはまだ続きます。
GitHubリストに掲載されているアプリの中には、Fantastical 2やCyberDuckなど、Mac App Storeと開発者ウェブサイトの両方からオンラインで入手できるものがあります。これらのアプリはSparkleアップデータフレームワークを使用することも、使用しないこともできます。このシナリオがどうなるのか、疑問に思われるかもしれません。
まあ、皆さんが想像する通りの結果です。Mac App Storeからアプリをダウンロードしたのであれば、まだ安全です。しかし、インターネット上の怪しいウェブサイトからダウンロードした場合は、注意が必要です。
興味深いことに、Sparkle アップデータ フレームワークの古いバージョンの欠陥を最初に発見して概要を説明したセキュリティ研究者 (Radek) も、ユーザーが Sparkle 経由で特定のアプリを更新する際のセキュリティについて警戒し続けるよう、GitHub リストに貢献しています。
ユーザーがリストに挙げたアプリはすべて Sparkle アップデータ フレームワークを使用している可能性がありますが、リストされているすべてのアプリが脆弱性の影響を受けるわけではありません。更新を確認するときに HTTPS チャネルではなく HTTP チャネルを使用するため、Sparkle アップデータ フレームワークの古いバージョンを使用しているアプリのみが脆弱になります。
アプリ開発者はこの問題をどのように解決するのでしょうか?
自分のアプリが Sparkle アップデータ フレームワークの脆弱なバージョンを使用していることを知っているアプリ開発者には、アプリを保護するための 2 つの選択肢があります。1) アプリの Sparkle アップデータ フレームワークを最新バージョンに更新する、または2) サードパーティの Web サイトを使用する代わりに Mac App Store を使用してアプリをホストし、Apple が代わりにアプリのアップデートを処理できるようにする。
この問題は Apple やその製品に関連するものではなく、サードパーティの開発者が依存しているサードパーティ製ソフトウェアに関連するものであるため、Apple 自身も長期的にはこの問題を解決することはできないでしょう。
Sparkleアップデータフレームワークのアップデートが脆弱性からユーザーを守る最近の例として、VLC Media Playerが挙げられます。このアプリは最近、この問題の修正を含むアップデートを実施しました。さらに、Mac App Storeを経由せずにアップデートされたにもかかわらず、アプリは依然としてSparkleアップデータフレームワークを使用していますが、最新版であるため、Radek氏が指摘した中間者攻撃に対する脆弱性は解消されています。
自分を守る方法
この脆弱性から身を守るのは簡単です。Mac App Storeからダウンロードしていないアプリでアップデートが利用可能というメッセージが表示された場合、アップデータインターフェースを経由せずに、開発者のウェブサイトにアクセスしてアプリの最新バージョンを手動でダウンロードするだけで済みます。
この方法により、悪意のあるハッカーが強制的にダウンロードさせようとしているファイルではなく、ダウンロードしようとしているファイルを確実に取得できます。
アプリの使用中に安全性が不安な場合は、その特定のアプリのサポートに連絡してアプリ開発者に直接質問し、この脆弱性から安全かどうかについてより確実な回答を得ることもできます。
結論
確かにこれは厄介なセキュリティ上の脆弱性ですが、実世界で実際に悪用された事例はまだ確認されていません。幸いなことに、常識を守り、最新のセキュリティ脅威に関する情報を常に把握することで、安全を確保することができます。
あなたの Mac には、GitHub にリストされている Sparkle アップデータ フレームワークを使用しているアプリがいくつありますか? コメントで共有してください。
