Falla in macOS High Sierra, password a rischio

Vulnerabili anche tutte le versioni precedenti.

[ZEUS News - www.zeusnews.it - 26-09-2017]

macos high sierra keychain falla password

Come recita una vecchia filastrocca: «Fu quel giorno, lo confesso, bello e brutto al tempo stesso».

Apple ha infatti appena rilasciato in pompa magna l'atteso macOS X 10.13 High Sierra, ma subito in esso è stata individuata una falla, presente anche nelle versioni precedenti del sistema operativo.

Il problema riguarda le password conservate in formato testo semplice all'interno del Portachiavi (Keychain), l'accessorio che si occupa per l'appunto di gestire le credenziali e le informazioni relative all'account.

Leggi anche:

Falla in macOS, chiunque può accedere senza password

''Ma non esistono virus per Mac'': il caso FruitFly

macOS High Sierra e iOS 11, tutte le novità degli aggiornamenti

MacOS System 6 e 7 rivivono nel browser

Il funzionamento normale prevede che le varie applicazioni che hanno bisogno dell'inserimento di una specifica password possano accedervi, a patto però che l'utente inserisca prima la propria Master Password che serve ad "aprire" il Portachiavi.

La falla, scoperta dall'ex agente della NSA e ora dipendente di Synack Patrick Wardle, consente a un'app di rubare tutte le passowrd conservate in formato testo semplice aggirando la richiesta della Master Password.

Wardle ha anche realizzato un video (che riportiamo in coda all'articolo) in cui dà prova di come sia possibile sfruttare la vulnerabilità installando un'app compromessa sul Mac bersaglio e rubandone le password da remoto, senza che l'utente debba fare alcunché se non installare l'app (operazione che gli scammer esperti sono perfettamente in grado di convincere molti utenti a fare).

Apple, interrogata in proposito, ha precisato che «macOS è progettato per essere sicuro per default» e che l'installazione di app non firmate digitalmente - come quella usata da Wardle - viene intercettata dalla funzionalità macOS Gatekeeper, la quale informa l'utente del fatto che l'app può non essere sicura e ne chiede pertanto l'approvazione esplicita.

«Noi incoraggiamo gli utenti a scaricare software soltanto da sorgenti fidate, come il Mac App Store, e a fare molta attenzione alle finestre di dialogo sulla sicurezza che macOS presenta» ha scritto il gigante di Cupertino.

Tutto ciò è un modo molto garbato per dire che, se un utente è così incauto da installare un'app potenzialmente non sicura e questa gli ruba le password, in buona sostanza se l'è andata a cercare.

Sondaggio

I cartelli di avviso inducono gli automobilisti a manovre di emergenza, frenando di colpo per poi accelerare nuovamente una volta passato l'autovelox. È allo studio un progetto di rimuovere tutte le segnalazioni anche da app e navigatori: sei d'accordo?

Leggi i commenti (22)

Ma, soprattutto, implica che Apple non abbia intenzione di rilasciare una patch per risolvere il problema alla radice, o quantomeno di farlo in tempi brevi, dato che l'intera questione non sembra essere presa troppo sul serio.

Il guaio è che il furto potrebbe avvenire anche con app firmate. Per ottenere la firma non serve infatti altro che sottoscrivere l'Apple Developer Program, che costa 99 dollari l'anno.

Dato che un hacker degno di questo nome è in grado di incassare ben più di 99 dollari dalla diffusione ben orchestrata di app malevole, il gioco vale la spesa e Gatekeeper diventa inutile.

«In qualità di appassionato utente di Mac sono continuamente deluso dalla sicurezza di macOS» ha commentato Wardle. «Ogni volta che guardo male macOS qualcosa si rompe. Mi pare che gli utenti debbano essere messi a conoscenza dei rischi che possono correre».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

Gladiator

La cosa più assurda di tutte è che le password non siano crittografate all'interno del Portachiavi ma in testo semplice, mi sembra veramente una cosa di una stupidità incredibile anche se, purtroppo, in linea con la supponenza e l'arroganza di Apple.
1-10-2017 18:03

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(5 commenti) Google lancia Nano Banana: Gemini genera immagini credibili e coerenti	News(12 commenti) Google, stop all'obbligo di usare Gmail per gli account Android

Trucchi(7 commenti)

Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft

News(8 commenti)

La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno

Maipiusenza(10 commenti)

Halo X, gli smart glass "sempre in ascolto": ti rendono super intelligente appena li indossi

News(7 commenti)

LibreOffice 25.8: velocità, interoperabilità e sovranità digitale al centro della nuova versione

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Quale di queste professioni obsolete secondo te ha ancora un futuro?

	Agente di viaggio. C'è ancora qualcuno che prenota le vacanze in agenzia? (Parrebbe di sì)
	Cassiera di supermercato. Sostituita dalle casse automatiche e dalla spesa online. (Ma i clienti rimangono affezionati al vecchio sistema)
	Centralinista. Sostituito dai centralini digitali. (Eppure resiste in molte aziende)
	Data entry. Mai sentito parlare di scanner e OCR? (Invece c'è chi inserisce ancora tutto a mano)
	Dattilografo. I dirigenti moderni gestiscono il proprio blog, non dettano più gli appunti a una segretaria; al massimo usano il riconoscimento vocale. (Ma esistono davvero dirigenti... moderni?)
	Impiegato di banca allo sportello. Con i conti online è una figura sempre meno utile. (Però in banca tutti lo cercano)
	Giornalista. Con Google News, Facebook, Twitter e i blog, c'è ancora bisogno di loro? (Almeno dei migliori, evidentemente sì)
	Postino. Con la posta elettronica, la posta tradizionale va diminuendo sempre più. (Ma ci vuole sempre qualcuno che la consegni)