Un ricercatore italiano ha trovato una grave vulnerabilità in MacOS

di

Importante scoperta di Filippo Cavallarin, un ricercatore di sicurezza di Venezia che ha svelato di aver scoperto una vulnerabilità grave nel Gatekeeper di macOS 10.14.5, che consente di eseguire codice malevolo senza l'autorizzazione degli utenti.

Gatekeeper, per chi non lo conoscesse, è un sistema sviluppato da Apple ed incluso in macOS dal 2012 che applica la firma del codice e verifica le applicazioni scaricate prime di consentirne l'esecuzione. Il sistema si attiva nel momento in cui, ad esempio, si scarica un'app da internet e la si tenta di installare: Gatekeeper chiederà conferma avvisando l'utente che si tratta di un'applicazione non autorizzata.

Come si può vedere nel filmato presente in apertura, è possibile bypassare facilmente il Gatekeeper. La scoperta è stata effettuata lo scorso 22 Febbraio 2019, e la pubblicazione è avvenuta solo dopo 90 giorni come previsto dal protocollo di divulgazione. Cavallarin sostiene anche che la falla sarebbe dovuta essere risolta entro il 15 Maggio 2019, ma Apple avrebbe ignorato le sue email.

Aggirare Gatekeeper sarebbe molto facile in quanto il sistema considera sia le unità esterne che le condivisioni di rete come posti sicuri, consentendo di eseguire qualsiasi tipo di app. Secondo il ricercatore, dal momento che Gatekeeper non effettua il controllo ogni volta che si tenta di aprire la stessa app ma lo fa solo una volta, molti potrebbero essere tratti in inganno e montare una condivisione di rete non sua. In questo modo la cartella potrebbe contenere qualsiasi tipo di file, inclusi i file zip che fanno parte della vulnerabilità, che "possono contenere collegamenti simbolici che punto ad una posizione arbitraria (tra cui gli endpoint di automount) ed il software su macOS responsabile della decompressione dei file zip non esegue alcun controllo sui collegamenti simbolici prima di crearli".

Ciò vuol dire che se l'utente dovesse montare la condivisione di rete in questione per poi decomprimere un file cliccando sul collegamento, di fatto renderebbe vulnerabile il Mac.

Cavallarin ha pubblicato una lista dei comandi per replicare la falla, e consiglia di disabilitare l'automount tramite un apposito comando presente nella pagina dedicata.