Falla in macOS High Sierra, password a rischio

Vulnerabili anche tutte le versioni precedenti.



[ZEUS News - www.zeusnews.it - 26-09-2017]

macos high sierra keychain falla password

Come recita una vecchia filastrocca: «Fu quel giorno, lo confesso, bello e brutto al tempo stesso».

Apple ha infatti appena rilasciato in pompa magna l'atteso macOS X 10.13 High Sierra, ma subito in esso è stata individuata una falla, presente anche nelle versioni precedenti del sistema operativo.

Il problema riguarda le password conservate in formato testo semplice all'interno del Portachiavi (Keychain), l'accessorio che si occupa per l'appunto di gestire le credenziali e le informazioni relative all'account.

Il funzionamento normale prevede che le varie applicazioni che hanno bisogno dell'inserimento di una specifica password possano accedervi, a patto però che l'utente inserisca prima la propria Master Password che serve ad "aprire" il Portachiavi.

La falla, scoperta dall'ex agente della NSA e ora dipendente di Synack Patrick Wardle, consente a un'app di rubare tutte le passowrd conservate in formato testo semplice aggirando la richiesta della Master Password.

Wardle ha anche realizzato un video (che riportiamo in coda all'articolo) in cui dà prova di come sia possibile sfruttare la vulnerabilità installando un'app compromessa sul Mac bersaglio e rubandone le password da remoto, senza che l'utente debba fare alcunché se non installare l'app (operazione che gli scammer esperti sono perfettamente in grado di convincere molti utenti a fare).

Apple, interrogata in proposito, ha precisato che «macOS è progettato per essere sicuro per default» e che l'installazione di app non firmate digitalmente - come quella usata da Wardle - viene intercettata dalla funzionalità macOS Gatekeeper, la quale informa l'utente del fatto che l'app può non essere sicura e ne chiede pertanto l'approvazione esplicita.

«Noi incoraggiamo gli utenti a scaricare software soltanto da sorgenti fidate, come il Mac App Store, e a fare molta attenzione alle finestre di dialogo sulla sicurezza che macOS presenta» ha scritto il gigante di Cupertino.

Tutto ciò è un modo molto garbato per dire che, se un utente è così incauto da installare un'app potenzialmente non sicura e questa gli ruba le password, in buona sostanza se l'è andata a cercare.

Sondaggio
Autovelox, togliere tutte le segnalazioni e gli avvisi
I cartelli di avviso inducono gli automobilisti a manovre di emergenza, frenando di colpo per poi accelerare nuovamente una volta passato l'autovelox. È allo studio un progetto di rimuovere tutte le segnalazioni anche da app e navigatori: sei d'accordo?
Sì, le strade saranno più sicure
No, servirà solo ad aumentare le multe

Mostra i risultati (2703 voti)
Leggi i commenti (22)

Ma, soprattutto, implica che Apple non abbia intenzione di rilasciare una patch per risolvere il problema alla radice, o quantomeno di farlo in tempi brevi, dato che l'intera questione non sembra essere presa troppo sul serio.

Il guaio è che il furto potrebbe avvenire anche con app firmate. Per ottenere la firma non serve infatti altro che sottoscrivere l'Apple Developer Program, che costa 99 dollari l'anno.

Dato che un hacker degno di questo nome è in grado di incassare ben più di 99 dollari dalla diffusione ben orchestrata di app malevole, il gioco vale la spesa e Gatekeeper diventa inutile.

«In qualità di appassionato utente di Mac sono continuamente deluso dalla sicurezza di macOS» ha commentato Wardle. «Ogni volta che guardo male macOS qualcosa si rompe. Mi pare che gli utenti debbano essere messi a conoscenza dei rischi che possono correre».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

La cosa più assurda di tutte è che le password non siano crittografate all'interno del Portachiavi ma in testo semplice, mi sembra veramente una cosa di una stupidità incredibile anche se, purtroppo, in linea con la supponenza e l'arroganza di Apple.
1-10-2017 18:03

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Condivisione tablet
Se il telefonino è generalmente personale, spesso il tablet è condiviso in casa. E' così?
Ho un tablet e lo uso solo io.
Ho un tablet e lo condivido con i miei familiari.
Non ho un tablet ma utilizzo quello di un mio familiare.
Non ho un tablet.

Mostra i risultati (2098 voti)
Maggio 2025
Android 16 e lo smartphone diventa un PC
Apocalisse Bitcoin
Microsoft inaugura l'era degli account senza password
Perso per sempre il codice sorgente di Fallout
Aprile 2025
Windows Recall è ora ufficialmente disponibile
"Imbrogliare su tutto": dagli esami universitari ai colloqui di lavoro
Intel pronta a licenziare 20.000 persone
Fire TV stick, Amazon pronta a lasciare Android per Vega OS
Siti per adulti, Agcom impone la verifica dell’età con il doppio anonimato
Android sempre più esigente: ora servono almeno 32 Gbyte
Il terzo giorno Android si riavvia
Microsoft: ''Non toccate la cartella misteriosa''
Windows Recall, forse è la volta buona
Le funzioni di Skype che Teams non ha
WhatsApp per Windows: non aprite quell'immagine
Tutti gli Arretrati
Accadde oggi - 8 maggio


web metrics