Falla in macOS High Sierra, password a rischio

Vulnerabili anche tutte le versioni precedenti.

[ZEUS News - www.zeusnews.it - 26-09-2017]

macos high sierra keychain falla password

Come recita una vecchia filastrocca: «Fu quel giorno, lo confesso, bello e brutto al tempo stesso».

Apple ha infatti appena rilasciato in pompa magna l'atteso macOS X 10.13 High Sierra, ma subito in esso è stata individuata una falla, presente anche nelle versioni precedenti del sistema operativo.

Il problema riguarda le password conservate in formato testo semplice all'interno del Portachiavi (Keychain), l'accessorio che si occupa per l'appunto di gestire le credenziali e le informazioni relative all'account.

Leggi anche:

Falla in macOS, chiunque può accedere senza password

''Ma non esistono virus per Mac'': il caso FruitFly

macOS High Sierra e iOS 11, tutte le novità degli aggiornamenti

MacOS System 6 e 7 rivivono nel browser

Il funzionamento normale prevede che le varie applicazioni che hanno bisogno dell'inserimento di una specifica password possano accedervi, a patto però che l'utente inserisca prima la propria Master Password che serve ad "aprire" il Portachiavi.

La falla, scoperta dall'ex agente della NSA e ora dipendente di Synack Patrick Wardle, consente a un'app di rubare tutte le passowrd conservate in formato testo semplice aggirando la richiesta della Master Password.

Wardle ha anche realizzato un video (che riportiamo in coda all'articolo) in cui dà prova di come sia possibile sfruttare la vulnerabilità installando un'app compromessa sul Mac bersaglio e rubandone le password da remoto, senza che l'utente debba fare alcunché se non installare l'app (operazione che gli scammer esperti sono perfettamente in grado di convincere molti utenti a fare).

Apple, interrogata in proposito, ha precisato che «macOS è progettato per essere sicuro per default» e che l'installazione di app non firmate digitalmente - come quella usata da Wardle - viene intercettata dalla funzionalità macOS Gatekeeper, la quale informa l'utente del fatto che l'app può non essere sicura e ne chiede pertanto l'approvazione esplicita.

«Noi incoraggiamo gli utenti a scaricare software soltanto da sorgenti fidate, come il Mac App Store, e a fare molta attenzione alle finestre di dialogo sulla sicurezza che macOS presenta» ha scritto il gigante di Cupertino.

Tutto ciò è un modo molto garbato per dire che, se un utente è così incauto da installare un'app potenzialmente non sicura e questa gli ruba le password, in buona sostanza se l'è andata a cercare.

Sondaggio

Autovelox, togliere tutte le segnalazioni e gli avvisi

I cartelli di avviso inducono gli automobilisti a manovre di emergenza, frenando di colpo per poi accelerare nuovamente una volta passato l'autovelox. È allo studio un progetto di rimuovere tutte le segnalazioni anche da app e navigatori: sei d'accordo?

Leggi i commenti (22)

Ma, soprattutto, implica che Apple non abbia intenzione di rilasciare una patch per risolvere il problema alla radice, o quantomeno di farlo in tempi brevi, dato che l'intera questione non sembra essere presa troppo sul serio.

Il guaio è che il furto potrebbe avvenire anche con app firmate. Per ottenere la firma non serve infatti altro che sottoscrivere l'Apple Developer Program, che costa 99 dollari l'anno.

Dato che un hacker degno di questo nome è in grado di incassare ben più di 99 dollari dalla diffusione ben orchestrata di app malevole, il gioco vale la spesa e Gatekeeper diventa inutile.

«In qualità di appassionato utente di Mac sono continuamente deluso dalla sicurezza di macOS» ha commentato Wardle. «Ogni volta che guardo male macOS qualcosa si rompe. Mi pare che gli utenti debbano essere messi a conoscenza dei rischi che possono correre».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

Gladiator

La cosa più assurda di tutte è che le password non siano crittografate all'interno del Portachiavi ma in testo semplice, mi sembra veramente una cosa di una stupidità incredibile anche se, purtroppo, in linea con la supponenza e l'arroganza di Apple.
1-10-2017 18:03

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(3 commenti) La pillola che simula gli effetti di un bypass gastrico	News(7 commenti) Android sempre più esigente: ora servono almeno 32 Gbyte

News(13 commenti)

Il terzo giorno Android si riavvia

Flash(11 commenti)

Google dice addio a Google.it

News(17 commenti)

Facebook, Mark Zuckerberg voleva cancellare tutte le amicizie

News(9 commenti)

Microsoft: ''Non toccate la cartella misteriosa''

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: