Come recita una vecchia filastrocca: «Fu quel giorno, lo confesso, bello e brutto al tempo stesso».

Apple ha infatti appena rilasciato in pompa magna l'atteso macOS X 10.13 High Sierra, ma subito in esso è stata individuata una falla, presente anche nelle versioni precedenti del sistema operativo.

Il problema riguarda le password conservate in formato testo semplice all'interno del Portachiavi (Keychain), l'accessorio che si occupa per l'appunto di gestire le credenziali e le informazioni relative all'account.

Consigliamo la lettura di:

Falla in macOS, chiunque può accedere senza password

''Ma non esistono virus per Mac'': il caso FruitFly

macOS High Sierra e iOS 11, tutte le novità degli aggiornamenti

MacOS System 6 e 7 rivivono nel browser

Il funzionamento normale prevede che le varie applicazioni che hanno bisogno dell'inserimento di una specifica password possano accedervi, a patto però che l'utente inserisca prima la propria Master Password che serve ad "aprire" il Portachiavi.

La falla, scoperta dall'ex agente della NSA e ora dipendente di Synack Patrick Wardle, consente a un'app di rubare tutte le passowrd conservate in formato testo semplice aggirando la richiesta della Master Password.

Wardle ha anche realizzato un video (che riportiamo in coda all'articolo) in cui dà prova di come sia possibile sfruttare la vulnerabilità installando un'app compromessa sul Mac bersaglio e rubandone le password da remoto, senza che l'utente debba fare alcunché se non installare l'app (operazione che gli scammer esperti sono perfettamente in grado di convincere molti utenti a fare).

Apple, interrogata in proposito, ha precisato che «macOS è progettato per essere sicuro per default» e che l'installazione di app non firmate digitalmente - come quella usata da Wardle - viene intercettata dalla funzionalità macOS Gatekeeper, la quale informa l'utente del fatto che l'app può non essere sicura e ne chiede pertanto l'approvazione esplicita.

«Noi incoraggiamo gli utenti a scaricare software soltanto da sorgenti fidate, come il Mac App Store, e a fare molta attenzione alle finestre di dialogo sulla sicurezza che macOS presenta» ha scritto il gigante di Cupertino.

Tutto ciò è un modo molto garbato per dire che, se un utente è così incauto da installare un'app potenzialmente non sicura e questa gli ruba le password, in buona sostanza se l'è andata a cercare.

Ma, soprattutto, implica che Apple non abbia intenzione di rilasciare una patch per risolvere il problema alla radice, o quantomeno di farlo in tempi brevi, dato che l'intera questione non sembra essere presa troppo sul serio.

Il guaio è che il furto potrebbe avvenire anche con app firmate. Per ottenere la firma non serve infatti altro che sottoscrivere l'Apple Developer Program, che costa 99 dollari l'anno.

Dato che un hacker degno di questo nome è in grado di incassare ben più di 99 dollari dalla diffusione ben orchestrata di app malevole, il gioco vale la spesa e Gatekeeper diventa inutile.

«In qualità di appassionato utente di Mac sono continuamente deluso dalla sicurezza di macOS» ha commentato Wardle. «Ogni volta che guardo male macOS qualcosa si rompe. Mi pare che gli utenti debbano essere messi a conoscenza dei rischi che possono correre».