SICUREZZA INFORMATICA

Aprire una pagina web su Safari potrebbe aver hackerato il tuo Mac

Se si usa un computer della Apple, se si è legati a macOS, ci sono cattive notizie: per i sistemi operativi non ancora aggiornati, o per quelli non aggiornati fino al febbraio dello scorso anno, potrebbero esserci stati dei problemi. Problemi di malware, s’intende.

Il team di Dropbox ha svelato dei dettagli in merito a 3 vulnerabilità scoperte per un caso fortuito. Vulnerabilità anche piuttosto critiche, nel sistema operativo macOS, quello riservato ai computer Mac, per l’appunto. Parliamo di vulnerabilità, di falle nel sistema, non di poco conto, in quanto potrebbero permettere ai cyber-criminali di infettare il sistema in un modo assolutamente semplice: invitandolo a visitare una pagina web. Vediamo di saperne di più.

Le vulnerabilità di Mac: la premessa

Le vulnerabilità di macOS sono state scoperte da Syndis, un’azienda specializzata nella cyber-security. Syndis era stata assunta da Dropbox per effettuare delle simulazioni di attacchi al sistema: fondamentalmente un controllo di routine che fanno le grosse compagnie. Dropbox si era preoccupata di verificare la sicurezza non soltanto per quanto riguarda l’applicazione, sia nella versione Android che nella versione iOS, ma anche per il sito web su tutti i sistemi e i principali browser Internet. Ed è proprio quest’ultimo che ha sollevato non pochi problemi.

Problemi di cui Dropbox ha subito messo a conoscenza la diretta interessata. Non appena ha saputo del problema, infatti, Dropbox ha subito informato Apple (questo in febbraio), la quale ha subito (esattamente un mese dopo) rilasciato delle patch, dei modi per risolvere in problema. I problemi di macOS avrebbero potuto creare disturbi anche al sito di Dropbox stesso.

Le vulnerabilità riscontrate, non avrebbero creato problemi solo a macOS, ma anche a tutti gli utenti di Safari, o meglio, a tutti coloro che usano il sistema operativo in questione e il browser Safari nello stesso momento. Il problema riguarda quindi l’unione tra macOS e Safari.

Quali sono le vulnerabilità di macOS?

Quali sono, dunque, queste particolari vulnerabilità insite in uno dei sistemi operativi più usati al mondo? Ecco la lista.

  1. CVE-2017-13890. La prima vulnerabilità di macOS è insita nella componente CoreType, ovvero quella che permette a Safari di scaricare automaticamente e installare un disco infetto sul sistema del malcapitato che ha visitato la pagina compromessa.
  2. CVE-2018-4176. La seconda vulnerabilità risiede nel modo stesso in cui le immagini del disco vengono trattate. Nello specifico, è un problema dei file .bundles, ovvero applicazioni che vengono conservate sotto forma di directory. Sfruttando questo tipo di vulnerabilità del sistema operativo Mac, un hacker potrebbe lanciare un’applicazione malevola dal disco che ha installato, quindi usare un utility, ovvero un programma che gestisce un’applicazione complementare.
  3. CVE-2018-4175. La terza vulnerabilità del sistema operativo Mac, di Apple, coinvolge l’anti-malware Gatekeeper di Mac. questo particolare problema permetterebbe ad un’applicazione malevola particolarmente sofisticata di bypassare il code signing enforcement (fondamentalmente si tratta dei metodi di sicurezza che assicurano l’integrità della firma digitale), per eseguirlo e modificarlo su un terminal diverso.

I tecnici di Syndis sono stati in grado di creare un attacco in due parti, sfruttando insieme tutte e tre le vulnerabilità qui descritte. Il risultato è stato l’ottenimento del controllo totale del computer. Il tutto semplicemente invitando, spingendo l’ignara vittima a visitare una pagina web infetta col browser Safari.

“Il primo stadio include una versione modificata della app Terminal, la quale è registrata come handler, ovvero come sub-routine dell’estensione .workingpoc. Avrebbe contenuto una cartella chiamata “test.bundle”, la quale sarebbe stata messa come “openfolder”, aprendo automaticamente /Applicazioni/Terminal.app senza alcun input da parte dell’utente.”

È quanto afferma Dropbox nel post sul blog, dove queste vulnerabilità sono state rivelate al pubblico.

“Il secondo stadio include uno shellscript non autorizzato con l’estensione .workingpoc, che avrebbe lanciato l’applicazione senza che l’utente avesse espresso alcun comando al riguardo.”

Detta così, suona terribile. Come se ogni sito che si visita potesse essere potenzialmente infetto. Si vivrebbe nella paranoia. Fortunatamente Apple ha agito a gran velocità, come abbiamo anticipato.

La risposta di Apple all’allarme di Dropbox

Dropbox ha avvertito Apple nel febbraio 2018, come dicevamo. Apple, senza sprecare un momento, ha rilasciato subito, il 29 marzo 2018, degli aggiornamenti che includono le riparazioni, le patch, per l’appunto, necessarie a rimediare a queste particolarità vulnerabilità del sistema operativo Mac. Ciò significa che effettivamente l’allarme è rientrato.

Naturalmente, per assicurarsi di non correre più rischi, occorre aggiornare i sistemi costantemente, al fine di accertarsi che non si sia nulla di strano, nulla che si nasconde nell’ombra.

Questa faccenda testimonia l’importanza di svolgere in maniera periodica e costante attività di penetration test al fine di individuare eventuali vulnerabilità presenti nei propri sistemi.

Federico D’Agostino

Swascan Marketing Manager

Contenuti sponsorizzati