Falla in macOS High Sierra, password a rischio

Vulnerabili anche tutte le versioni precedenti.



[ZEUS News - www.zeusnews.it - 26-09-2017]

macos high sierra keychain falla password

Come recita una vecchia filastrocca: «Fu quel giorno, lo confesso, bello e brutto al tempo stesso».

Apple ha infatti appena rilasciato in pompa magna l'atteso macOS X 10.13 High Sierra, ma subito in esso è stata individuata una falla, presente anche nelle versioni precedenti del sistema operativo.

Il problema riguarda le password conservate in formato testo semplice all'interno del Portachiavi (Keychain), l'accessorio che si occupa per l'appunto di gestire le credenziali e le informazioni relative all'account.

Il funzionamento normale prevede che le varie applicazioni che hanno bisogno dell'inserimento di una specifica password possano accedervi, a patto però che l'utente inserisca prima la propria Master Password che serve ad "aprire" il Portachiavi.

La falla, scoperta dall'ex agente della NSA e ora dipendente di Synack Patrick Wardle, consente a un'app di rubare tutte le passowrd conservate in formato testo semplice aggirando la richiesta della Master Password.

Wardle ha anche realizzato un video (che riportiamo in coda all'articolo) in cui dà prova di come sia possibile sfruttare la vulnerabilità installando un'app compromessa sul Mac bersaglio e rubandone le password da remoto, senza che l'utente debba fare alcunché se non installare l'app (operazione che gli scammer esperti sono perfettamente in grado di convincere molti utenti a fare).

Apple, interrogata in proposito, ha precisato che «macOS è progettato per essere sicuro per default» e che l'installazione di app non firmate digitalmente - come quella usata da Wardle - viene intercettata dalla funzionalità macOS Gatekeeper, la quale informa l'utente del fatto che l'app può non essere sicura e ne chiede pertanto l'approvazione esplicita.

«Noi incoraggiamo gli utenti a scaricare software soltanto da sorgenti fidate, come il Mac App Store, e a fare molta attenzione alle finestre di dialogo sulla sicurezza che macOS presenta» ha scritto il gigante di Cupertino.

Tutto ciò è un modo molto garbato per dire che, se un utente è così incauto da installare un'app potenzialmente non sicura e questa gli ruba le password, in buona sostanza se l'è andata a cercare.

Sondaggio
I cartelli di avviso inducono gli automobilisti a manovre di emergenza, frenando di colpo per poi accelerare nuovamente una volta passato l'autovelox. È allo studio un progetto di rimuovere tutte le segnalazioni anche da app e navigatori: sei d'accordo?
Sì, le strade saranno più sicure
No, servirà solo ad aumentare le multe

Mostra i risultati (2397 voti)
Leggi i commenti (16)

Ma, soprattutto, implica che Apple non abbia intenzione di rilasciare una patch per risolvere il problema alla radice, o quantomeno di farlo in tempi brevi, dato che l'intera questione non sembra essere presa troppo sul serio.

Il guaio è che il furto potrebbe avvenire anche con app firmate. Per ottenere la firma non serve infatti altro che sottoscrivere l'Apple Developer Program, che costa 99 dollari l'anno.

Dato che un hacker degno di questo nome è in grado di incassare ben più di 99 dollari dalla diffusione ben orchestrata di app malevole, il gioco vale la spesa e Gatekeeper diventa inutile.

«In qualità di appassionato utente di Mac sono continuamente deluso dalla sicurezza di macOS» ha commentato Wardle. «Ogni volta che guardo male macOS qualcosa si rompe. Mi pare che gli utenti debbano essere messi a conoscenza dei rischi che possono correre».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Falla in macOS, chiunque può accedere senza password
''Ma non esistono virus per Mac'': il caso FruitFly
macOS High Sierra e iOS 11, tutte le novità degli aggiornamenti
MacOS System 6 e 7 rivivono nel browser
Apple cambia nome a OS X

Commenti all'articolo (1)

La cosa più assurda di tutte è che le password non siano crittografate all'interno del Portachiavi ma in testo semplice, mi sembra veramente una cosa di una stupidità incredibile anche se, purtroppo, in linea con la supponenza e l'arroganza di Apple.
1-10-2017 18:03

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
I cartelli di avviso inducono gli automobilisti a manovre di emergenza, frenando di colpo per poi accelerare nuovamente una volta passato l'autovelox. È allo studio un progetto di rimuovere tutte le segnalazioni anche da app e navigatori: sei d'accordo?
Sì, le strade saranno più sicure
No, servirà solo ad aumentare le multe

Mostra i risultati (2397 voti)
Dicembre 2021
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
Tutti gli Arretrati
Accadde oggi - 8 dicembre


web metrics