WWDC2022-2023 non è l'unica notizia seria sulle scrivanie degli ingegneri di Apple questa mattina.
Se sfruttata correttamente, un'app dannosa potrebbe ingannare il tuo MacBook, o qualsiasi tipo di Mac attuale, facendogli pensare che sei tu e fare quello che vuole. Il ricercatore di sicurezza Patrick Wardle, chief research officer di Digita Security, ha rivelato ieri (2 giugno) una scappatoia nella sicurezza di macOS durante una conferenza a Monaco soprannominata Objective by the Sea.
Sfortunatamente, Apple non ha ancora corretto questo difetto e Wardle ne ha parlato alla società solo la scorsa settimana. Per proteggerti, devi stare molto attento alle applicazioni che scarichi direttamente da internet. Sarebbe meglio attenersi invece al Mac App Store ufficiale.
Clic fantasma
Il problema, secondo Wardle, è che Apple consente a una manciata di applicazioni legacy (per lo più versioni precedenti delle app attuali come il popolare lettore multimediale VLC) di continuare a utilizzare "clic sintetici", una funzionalità che ha consentito alle applicazioni di aggirare gli ultimi ostacoli alla sicurezza di Apple imitando un utente autorizzato la cui autorizzazione è necessaria per consentire determinate azioni.
Secondo EclecticLight.co, l'elenco delle app legacy che Apple ha inserito nella whitelist per poter utilizzare i clic sintetici include vecchie versioni di Steam, VLC, Sonos Mac Controller e Logitech Manager.
Dopo che Wardle e altri ricercatori hanno mostrato la scorsa estate come utilizzare i clic sintetici per attaccare i Mac, Apple ha chiuso la porta alla funzionalità con macOS Mojave. Ma per consentire alle app legacy di continuare a funzionare - Wardle aveva avvertito che l'eliminazione completa dei clic sintetici avrebbe "rotto molte applicazioni legittime" - quelle app più vecchie hanno ottenuto una rinuncia.
"È frustrante per un ricercatore trovare continuamente modi per aggirare le protezioni di Apple", ha detto Wardle a Threatpost. "Sarei ingenuo a pensare che non ci siano altri hacker o avversari sofisticati che abbiano trovato buchi simili nelle difese di Apple".
Non controllare le camere
Apple ha un'altra salvaguardia. Consente solo alle applicazioni su una whitelist Apple di utilizzare clic sintetici, indipendentemente dal fatto che tali app siano legacy o meno. Il problema è che il processo di verifica è profondamente imperfetto.
MacOS sta solo verificando le app controllando le loro firme digitali e non controllando effettivamente il codice all'interno di tali app o assicurandosi che non carichino codice aggiuntivo dopo l'avvio. Ieri, Wardle ha dimostrato la validità delle sue preoccupazioni iniettando un plug-in dannoso in VLC, uno che potrebbe eseguire clic sintetici - azioni utente false - che Apple in genere blocca nelle app.
Immagina un agente di sicurezza della TSA che controlla solo il tuo ID e non fa scorrere i bagagli attraverso il vassoio di scansione. Questo è il problema qui.
"Il modo in cui hanno implementato questo nuovo meccanismo di sicurezza, è rotto al 100%", ha detto Wardle a Wired. "Posso aggirare tutte queste nuove misure sulla privacy del Mojave".
Ingannare l'utente
Non è difficile ingannare gli utenti nell'installazione di applicazioni che sono state danneggiate e utilizzate come arma contro l'utente. Un importante esempio di ciò è accaduto nella vita reale nel marzo del 2016 con il popolare client BitTorrent Transmission.
Un attaccante potrebbe anche non aver bisogno di ingannare nessuno. Nel 2016, Wardle ha mostrato come un aggiornamento corrotto del software legittimo che l'utente aveva già installato, in questo esempio Kaspersky Internet Security for Mac, potesse aggirare tutti i meccanismi di sicurezza di Apple per infettare un Mac.
Pratiche di sicurezza sciatte
L'ultimo discorso di Wardle è stato riportato da una serie di punti vendita, tra cui The Register.
Come è successo? Wardle ha detto a The Register che "Se qualche ricercatore di sicurezza o qualcuno in Apple con una mentalità di sicurezza avesse verificato questo codice, lo avrebbe notato. Una volta che vedi questo bug, è banale",
"Non stanno verificando il codice", ha aggiunto. "Stanno implementando queste nuove funzionalità di sicurezza, ma la realtà è che spesso vengono implementate in modo errato".
- Perché il WWDC inaugurerà una nuova era per Apple?