Nel corso di queste ultime ore ha fatto notizia l’annunciato rilascio delle nuove distribuzioni della release macOS High Sierra per le piattaforme Desktop di Cupertino. Tutte le novità più rilevanti sono state prese recentemente in esame all’interno del nostro post dedicato che ha concesso la vista su una pletora di ottimizzazioni e miglioramenti specifici sia lato hardware che lato software.
Ad ogni modo, la presenza di una nuova falla emersa per mano dell’ex analista della NSA (National Security Agency) ricercatore di sicurezza presso Synack, Patrick Wardle, pone negativamente sotto i riflettori il nuovo OS, il quale risente di un bug di programmazione che consente di sfruttare un exploit al fine di prelevare indebitamente e facilmente le password e quindi i dati di tutti gli utenti Mac e dei loro account.
La situazione è ancor ben più tragica se a tutto questo si aggiunge il fatto che la falla non soltanto è presente con le ultime build macOS High Sierra ma viene anche condivisa con le piattaforme software di generazione precedente della casa di Cupertino.
Una situazione decisamente incresciosa per tutti quegli utenti che quotidianamente si affidano ad un sistema che fa della privacy e della sicurezza la propria filosofia operativa. Il ricercatore, di fatto, aveva già dato previa comunicazione dei rilevamenti ad Apple ad inizio mese, senza però ricevere alcun riscontro. In vista dell’uscita del nuovo sistema operativo l’hacker ha deliberatamente deciso di uscire allo scoperto mettendo sotto pressione lo sviluppatore californiano.
Il fatto di temporeggiare nella risoluzione di questa pericolosa falla di sicurezza lascia aperta la strada a malintenzionati che, tramite una semplice procedura, possono garantirsi l’accesso pieno alle passphrase di accesso immagazzinate all’interno di Keyhcain, altrimenti noto come “Accesso Portachiavi”, un’applicazione specifica di sistema dove trovano posto tutte le informazioni chiave degli account come username e password di accesso ai vari servizi locali ed online.
La notizia della scoperta di questo nuovo bug di sicurezza si accompagna ad un clip video che dimostra come le applicazioni non firmate riescano ad accedere direttamente alle informazioni contenute in Keychain in semplice formato testuale e senza addirittura richiedere la Master Password.
Il filmato mostra un’applicazione di testing realizzata ad hoc chiamata keychainStealer che accede alle password dei principali servizi social e di e-banking come Twitter, Facebook e Bank of America in formato testo e senza alcuna difficoltà.
Nello specifico, l’app mette in comunicazione diretta il computer con un server di rete con funzione Netcat attiva. Il click sul pulsante “exfil keychain” avvia la procedura di estrazione dei dati e li scarica sul server in modo del tutto inconsapevole all’utente ed in totale trasparenza per il malintenzionato.
Si tratta di una vulnerabilità decisamente importante che lascia aperta la porta a qualsivoglia tipo di attacco informatico ai danni dell’utente. Dati sensibili come estremi di login per profili social online, forum, chatroom, dati bancari sono alla mercé dell’hacker di turno. Ad ogni modo, affinché la vulnerabilità manifesti il suo potenziale l’utente deve procedere al download di codice maligno proveniente da software di terze parti, cosa sconsigliata in considerazione del fatto che si rimanda sempre al Mac App Store per le installazioni.
In un quadro più ampio, di fatto, Apple non consente di effettuare lo scaricamento software di prodotti che non riportino in calce le firme digitali e le autorizzazioni necessarie alla loro pubblicazione sullo store. Il ricercatore, ad ogni modo, afferma che tale vulnerabilità ha le potenzialità necessarie per bypassare i controlli e portarsi all’infezione anche su app regolarmente certificate.
In tal caso, comunque, Il processo di infezione risulta notevolmente più complesso a fronte di un controllo minuzioso svolto dagli analisti Apple che, tra l’altro, richiedono il pagamento di un corrispettivo di €99 l’anno per l’adesione al programma ADP (Apple Developer Program).
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)🍎🙈😭 vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— Patrick Wardle (@patrickwardle) September 25, 2017
Ad ogni modo, la possibilità di portarsi al download esterno incondizionato di software è una pratica assai comune e fattibile per l’utente Apple. Wardle, ai microfoni della testata Forbes, spiega come:
“La maggior parte degli attacchi odierni coinvolgono il social engineering e sembrano colpire con successo gli utenti Mac. Non sto dicendo che il nuovo exploit è elegante, ma funziona, non richiede il root e ha successo al 100%”
Almeno per il momento i danni sono limitati dalla segretezza del codice operativo dell’exploit. In tal senso, a fronte di un imminente aggiornamento ai sistemi macOS, la situazione può essere contenuta. Al momento, Apple ha commentato dicendo che:
“macOS è stato progettato per essere sicuro di default, e Gatekeeper avvisa gli utenti di non installare applicazioni non firmate, come quella mostrata in questo proof of concept, e impedisce loro dall’avviare l’app senza esplicita approvazione. Incoraggiamo gli utenti a scaricare software sicuro solo da fonti di fiducia come il Mac App Store e fare speciale attenzione ai dialoghi di sicurezza che macOS mostra”
Il ricercatore, d’altro canto, ha replicato rimarcando la sua amara delusione in qualità di utente Mac, riferendo a chiare lettere e senza omissioni che:
“Ogni volta che guardo macOS c’è qualcosa di sbagliato. Ritengo che gli utenti debbano essere consapevoli dei rischi esistenti”
L’auspicio, in questo caso, è quello di avviare un circuito di ricompensa per la ricerca attiva di vulnerabilità importanti, così come fatto nel corso degli anni con le piattaforme parallele iOS nel segmento software mobile.
Voi che cosa ne pensate al riguardo? La sicurezza dei sistemi informatici è strettamente relativa o si può davvero fare qualcosa per smuovere le acque? Spazio a tutti i vostri commenti ed a tutte le vostre personali considerazioni al riguardo.
