In questi giorni di annunci da parte di Apple - dal nuovo Mac Pro fino a macOS 10.15 Catalina - una seria vulnerabilità sopraggiunge a rovinare la festa.

A rendere ancora più deprimente la questione c'è il fatto che la falla - come testimonia il suo scopritore, l'esperto di sicurezza Patrick Wardle - è presene anche in macOS 10.15 Catalina, che ancora deve essere rilasciato.

Inoltre, c'è da aggiungere il fatto che si tratta di una debolezza non esattamente inedita: per molti versi ricorda il caso Fruitfly, che funestò il mondo Mac qualche anno fa.

Proposte di lettura:

macOS Sonoma, che cosa fare quando il Wi-Fi fa le bizze

Svelato il Mac Pro 2019, con CPU Xeon fino a 28 core

Mac alla mercé dei clic invisibili, dati personali degli utenti a rischio

''Ma non esistono virus per Mac'': il caso FruitFly

Per capire la portata della vulnerabilità bisogna sapere che macOS supporta i cosiddetti "clic sintetici", ossia clic del mouse o pressioni di tasti eseguiti in modo automatico per ragioni di accessibilità.

Ebbene, il problema sta nel fatto che questi click possono essere "dirottati": un malware può sfruttarli per aggirare le finestre di dialogo che chiedono all'utente l'autorizzazione per eseguire sul sistema operazioni che richiedono diritti di amministrazione, come installare software, accedere alla webcam e al microfono oppure leggere le password conservate nel Portachiavi.

Si tratta in buona sostanza della medesima tecnica usata da Fruitfly sin dal 2008 e anche da un altro malware, DevilRobber, nel 2011 e nel 2014: in altre parole, la sua pericolosità non è soltanto teorica, come lo stesso Wardle spiegava già lo scorso anno.

Vedendo come il furto dei clic sintetici sia già stato usato in passato, verrebbe da chiedersi come mai Apple non sia intervenuta per limitare i danni. In effetti una misura in questo senso è stata adottata con l'introduzione di una lista bianca che autorizza l'uso dei clic sintetici soltanto da parte delle applicazioni esplicitamente approvate dall'utente.

Tuttavia Wardle ha scoperto che vi sono eccezioni a questa regola, inserite per ragioni di retrocompatibilità: tali eccezioni riguardano software come VLC, Adobe Dreamweaver, Steam.

Dato che il controllo della lista bianca si limita a considerare la presenza dell'app nella suddetta lista, ma non che cosa l'app stia facendo, ecco che è possibile farsi passare per un'app autorizzata e poi compiere disastri nel sistema.

Al momento in cui scriviamo una patch ancora non esiste, ma possiamo essere certi che a un certo punto ne sarà rilasciata una.

Il guaio è che non è la prima volta che si verifica uno scenario del genere. Da un paio d'anni a questa parte sembra che tra Patrick Wardle e Apple si stia svolgendo una gara a rimpiattino: Wardle scova una falla in macOS, Apple rilascia una patch, Wardle trova un modo per aggirarla, Apple rilascia una nuova patch e e via di seguito. Sarebbe ora di concentrarsi sulle cause profonde del problema.