In questi giorni sto viaggiando in treno in Italia e ho notato che spesso gli
utenti di iPhone e iPad lasciano aperta a tutti la funzione AirDrop, che
permette di inviare file da un dispositivo Apple a un altro. La funzione non
richiede che i dispositivi siano collegati alla stessa rete Wi-Fi.
Per esempio, facendo una semplice scansione (con il normale Finder del mio
Mac) dei dispositivi raggiungibili via AirDrop ho trovato questi utenti:
“CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per
l’occasione. Ma l’iPad di Lele, gli iPhone di Viola, Dany ed Eradis e il Macbook Air di Lorenza non sono miei. Non
ho tentato di inviare file, per non allarmarli.
Non è prudente tenere AirDrop aperto a tutti: chiunque vi può mandare foto
indesiderate o malware, fare stalking o commettere altre molestie o abusi.
AirDrop andrebbe attivato solo quando serve per trasferire dati da un
dispositivo all’altro. Queste sono le opzioni disponibili sull’iPhone in Impostazioni - Generali - AirDrop: Ricezione non attiva (che consiglio come impostazione da tenere attiva normalmente), Solo contatti e Tutti per 10 minuti.
Per ridurre la vostra esposizione di dati personali quando attivate AirDrop,
attivatelo solo verso i vostri contatti e in ogni caso togliete il vostro nome
e il tipo di dispositivo dalla stringa del nome che viene trasmesso.
Non accettate mai dati da sconosciuti.
Se avete un iPhone, iPad o Mac, andate in
Impostazioni - Generali - Info - Nome, poi cambiate nome.
Siate creativi. Io, per esempio, ho scelto questo:
Se avete un Mac con processore M1/M2 (non Intel) e avete già fatto l’aggiornamento alla nuova versione di
macOS, denominata Sonoma, fate attenzione a una delle sue novità, che è
particolarmente assurda e potenzialmente imbarazzante: macOS su Apple Silicon fa partire automaticamente delle animazioni ridicole durante le
videochiamate quando fate alcuni gesti, e questa “funzione” è attiva per
default. Sta all’utente scoprire la causa delle animazioni e trovare il modo di
disattivarla. La stessa cosa avviene in iOS 17 su tablet e smartphone Apple.
Io me ne sono accorto per caso durante una sessione privata su Zoom, quando mi
sono comparsi a sorpresa dei palloncini alle spalle e davanti. Fortunatamente
si trattava di una videochiamata informale, ma se fosse stata per esempio una
riunione di lavoro, una sessione parlamentare o un webinar di oncologia, il
risultato sarebbe stato catastroficamente imbarazzante, anche perché non c’è
nessuna indicazione di quale software stia generando queste animazioni. Viene
istintivo pensare che si tratti di qualche nuova funzione di Zoom, e non è
intuitivo rendersi conto che le animazioni partono quando si compie un gesto
specifico o semplicemente un gesto che macOS interpreta in un certo modo.
La verità si scopre soltanto andando a cercare nei motori di
ricerca parole chiave come balloons zoom background. Frugando nei
risultati finalmente emergono le segnalazioni di altri utenti che si sono
imbattuti nello stesso problema e chiedono soccorso, raccontando situazioni imbarazzanti del tipo “sono un terapeuta e quindi è poco professionale che mi compaiano all’improvviso dei palloncini mentre il mio cliente sta parlando di un suo trauma”.
Attivare per default queste animazioni, senza informare l’utente, è una
scelta sconsiderata da parte di Apple, seconda solo a quella di Microsoft di
nascondere per default le estensioni dei nomi dei file.
Per disattivare questa funzione indesiderata bisogna cliccare in macOS sull’icona verde della telecamera che compare sulla barra menu quando un’applicazione sta usando la telecamera e poi cliccare sul pulsante verde Reactions in modo che diventi grigio.
Fra i gesti che attivano le animazioni ci sono i seguenti:
i due pollici alzati producono fuochi d’artificio
i due pollici in basso generano un temporale
il cuore formato con due mani fa emanare una pioggia di cuoricini animati
il gesto di pace (indice e medio disposti a V, palmo in avanti) fatto con una mano sola produce una flotta di palloncini e fatto con due mani genera una nube di coriandoli.
Il gesto “rock” doppio (quello che molti confondono con il gesto italiano delle corna) produce raggi laser.
Apple illustra tutti i gesti in italiano in una pagina apposita.
Chi usa macOS Ventura avrà notato che dalle opzioni di sicurezza è scomparsa
quella che consentiva di installare senza ulteriori domande software da qualunque fonte oltre che
dall’App Store e dagli sviluppatori identificati. È una misura di sicurezza
che serve a proteggere gli utenti maldestri o poco esperti e rendere difficile per loro installare app pericolose o infette.
Per aggirare questa misura si può fare clic destro e scegliere Apri... durante ciascuna installazione, ma se per caso vi serve aggirarla ripetutamente, si può riabilitare l’opzione di installare da qualunque fonte come segue (fatelo solo se sapete esattamente cosa state facendo e quali sono le
possibili conseguenze di questa scelta):
Chiudete le Preferenze di Sistema (System Settings), se le avete aperte
In Terminale, digitate sudo spctl --master-disable
Ovviamente vi verrà chiesta la password di amministratore
Riaprite System Settings. Non occorre riavviare
Se volete ripristinare, digitate sudo spctl --master-enable
Sono ormai mesi che macOS Ventura (13.3.*), sul mio Mac principale, ha un comportamento particolarmente irritante: a volte, quando faccio doppio clic su un file nel Finder per aprirlo, mi dice che “non riesce a trovarlo”. Il Finder ovviamente lo elenca, e altrettanto ovviamente il file esiste ed è lì dove il Finder lo mostra, ma niente da fare. Però se faccio un secondo doppio clic sullo stesso file, macOS me lo apre correttamente.
Avete idea di come eliminare il problema? Per ora è solo una scocciatura, per cui sopportarla mi costa molto meno tempo che investigare a fondo per risolverla, ma mi piacerebbe capire cosa provoca un errore così bislacco.
Ho notato che il fenomeno riguarda tutti i tipi di file (ODT, DOC, TXT, PDF e altri) ed è comparso grosso modo dopo che ho aggiornato Dropbox alla nuova versione per macOS, che sposta la cartella dei file di Dropbox sotto /Users/nomeutente/Library/CloudStorage/Dropbox. Inoltre il problema sembra manifestarsi solo sui file gestiti da Dropbox. Ma potrebbe anche essere solo una serie di coincidenze.
Non trovo online nulla di utile: ho visto che altri utenti hanno avuto lo stesso problema, ma nessuno dei rimedi proposti sembra funzionare. Ho già forzato la reindicizzazione di Spotlight (sudo -i; mdutil -Ea; mdutil -ai off; mdutil -ai on): non è cambiato nulla.
In General > Login items ho solo Android File Transfer e Dropbox.
Aggiornamento: date un’occhiata ai commenti arrivati dopo la pubblicazione iniziale di questo post per vedere i suggerimenti e le tecniche che ho già tentato.
Aggiornamento: ho appena aggiornato a Ventura 13.4: il problema non si è ancora manifestato, ma questo non vuol dire nulla, visto che si manifesta in modo apparentemente casuale.
Due punti, aperta parentesi tonda, chiusa parentesi tonda, aperta parentesi
graffa, spazio, due punti, barra verticale, due punti, E commerciale, spazio,
chiusa parentesi graffa, punto e virgola, due punti.
Questi tredici caratteri, spazi compresi, sono tutto quello serve per mandare
in crash quasi tutti i computer. Non importa se usate Windows, Linux o
macOS: se digitate questa esatta sequenza di caratteri in una finestra di
terminale o in una riga di comando, il vostro computer quasi sicuramente si
bloccherà e sarà necessario riavviarlo, perdendo tutti i dati non salvati. Non
è necessario essere amministratori del computer.
Ovviamente digitare questa sequenza di caratteri non è un esperimento da
provare su un computer che state usando per lavoro o che non potete
permettervi di riavviare bruscamente.
Ma come è possibile che basti così poco?
Quella sequenza di caratteri non è una falla recente: è un problema conosciuto
da decenni e si chiama fork bomb o rabbit virus o ancora
wabbit. Il primo caso di fork bomb risale addirittura al 1969.
Non è neanche un virus: fa parte del normale funzionamento dei
computer.
Semplificando in maniera estrema, ogni programma o processo che viene eseguito
su un computer può essere duplicato, formando un processo nuovo che viene
eseguito anch’esso. Questa duplicazione si chiama fork, nel senso di
“biforcazione”. A sua volta, il processo nuovo può creare una copia di
sé stesso, e così via.
Se si trova il modo di far proseguire questa duplicazione indefinitamente,
prima o poi verranno creati così tanti processi eseguiti simultaneamente che
il computer esaurirà le risorse disponibili, come la memoria o il processore,
e quindi andrà in tilt, paralizzandosi per il sovraccarico e costringendo
l’utente a uno spegnimento brutale e a un riavvio.
Questa trappola letale è stata per molto tempo un’esclusiva dei sistemi Unix e
quindi anche di Linux, ma oggi esiste anche in macOS e in Windows 10 e
successivi. Questi sistemi operativi, infatti, includono quella che si chiama
shell
bash, ossia un particolare interprete dei comandi (chiamato bash) usato
anche dai sistemi Linux e Unix. Dare a questo interprete quei tredici
caratteri è un modo molto conciso di ordinargli di generare un processo che
generi un processo che generi un processo e così via.
Non è l’unica maniera di avviare questa reazione a catena: ce ne sono
moltealtre, anche per le
vecchie versioni di Windows, ma questa è particolarmente minimalista.
:() definisce una funzione di nome ":" e il cui contenuto è quello che si trova fra le parentesi graffe
:|:& è il contenuto della funzione, ed è una chiamata alla funzione stessa (":"), seguita da un pipe (che manda l’output della funzione chiamata a un’altra chiamata della funzione ":") e da un ampersand (che mette in background la chiamata)
; conclude la definizione della funzione
: ordina di eseguire la funzione di nome ":"
È forse più chiaro se si usa bomba per dare un nome “normale” alla funzione e si usa una notazione meno ermetica:
bomba() {
bomba | bomba &
}; bomba
Difendersi non è facilissimo per l’utente comune: ci sono dei
comandi che
permettono di porre un limite al numero di processi che è possibile creare, ma
comunque non offrono una protezione perfetta. In alternativa, si può tentare
di disabilitare la shell bash in Windows, ma le conseguenze possono essere
imprevedibili.
In parole povere, il modo migliore per evitare una fork bomb è impedire
che un burlone o malintenzionato possa avvicinarsi, fisicamente o
virtualmente, alla tastiera del vostro computer.
Ogni tanto MacOS si rifiuta di vedere i dischi condivisi, specialmente dopo
uno scollegamento imprevisto a causa di un inciampo su un cavo o simili (tipo
quello che mi è successo stamattina): il Finder mostra la condivisione, ma non
riesce più ad accedere al contenuto della condivisione. Normalmente si
“risolve” il problema riavviando il Mac, ma se succede nel bel mezzo di un
lavoro importante riavviare è una scocciatura notevole.
Se vi dovesse capitare, aprite Terminale e digitate
sudo ifconfig en0 down
oppure
sudo ifconfig en1 down
a seconda della rete (Ethernet o Wi-Fi) sulla quale c’è il problema, digitate
la vostra password utente, aspettate un paio di secondi e poi digitate
sudo ifconfig en0 up
oppure
sudo ifconfig en1 up
Bingo! Problema risolto. I servizi di rete vengono riavviati senza dover far
ripartire il Mac. Me lo segno qui, così me lo ricordo e magari può essere
utile a qualcuno.
Se avete un computer Apple, aggiornatelo appena possibile alla versione più
recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto
una serie di falle davvero notevoli nella sicurezza dei computer di questa
marca, che permettevano di prendere il controllo di tutti gli account
aperti della vittima e, ciliegina sulla torta, anche della sua webcam.
La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e
Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un
potere del genere o rivenderlo a qualche banda di criminali informatici
contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al
momento in cui sono disponibili delle correzioni. Per questa sua scelta
responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal
programma di
bug bounty
dell’azienda, che prevede premi variabili a seconda della gravità della falla
segnalata responsabilmente.
Ma come è possibile che delle falle di un sistema operativo (in questo caso
macOS) permettano di prendere il controllo degli account della vittima? A
prima vista sembrerebbero due cose molto distinte. Pickren ha
spiegato
i dettagli della sua
tecnica di attacco.
Il primo passo è molto banale: convincere la vittima a visitare con Safari, il
browser standard di Apple, un sito che fa da trappola. Il sito non contiene
virus o altro: ospita semplicemente un documento innocuo, per esempio
un’immagine di un tenerissimo cucciolo o il classico
buongiornissimo caffé, collegato tramite un link (URI) speciale,
icloud-sharing:, che viene usato normalmente da Safari per i documenti
condivisi tramite iCloud.
In pratica la vittima, quando visita il sito-trappola, riceve un invito a
scaricare un documento condiviso innocuo. Se accetta, come è probabile se il
documento ha un nome allettante, Safari scarica il documento stesso. La
vittima apre il documento, vede che è una foto non pericolosa e non ci pensa
più.
Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha
un effetto molto insolito: siccome il documento è stato scaricato usando la
funzione di condivisione di Apple,
il creatore del documento condiviso può cambiare a proprio piacimento il
contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio
da un programma eseguibile, che a questo punto l’aggressore può attivare sul
Mac della vittima quando vuole.
L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi
non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per
eludere questi controlli. Il programma ostile iniettato nel Mac della vittima
può quindi agire indisturbato, senza che la vittima riceva richieste di
approvazione, ed eseguire per esempio del JavaScript che può fingere di
provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro
sito (è possibile impostarne l’origin a piacimento) e può fare tutto
quello che può fare la vittima nel proprio account presso questi servizi:
pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche
attivare la webcam.
Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave
che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività
(creando una backdoor).
Morale della storia: non fidatevi delle offerte di scaricare documenti
condivisi da siti che non conoscete, neanche se i documenti sembrano innocui,
e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato
una copia di sicurezza dei vostri dati.
A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per
i media player della stessa marca, per i suoi altoparlanti smart (che
finalmente introducono il
riconoscimento vocale multiutente
in italiano), per gli iPhone e per gli iPad. Smartphone e tablet
passano
alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di
scoprire quali altri siti avevate visitato e di ottenere altri dati personali.
Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono
come sempre sul
sito di Apple.
Sono disponibili al pubblico le nuove versioni dei principali sistemi operativi
per computer, ossia Windows 11 e Mac OS 12 Monterey.
Una volta tanto non è urgente installarli: non introducono miglioramenti
importanti della sicurezza, perlomeno per l’utente comune, per cui
aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è
fretta: Windows 10 continuerà a essere supportato fino a
ottobre del 2025.
Come sempre, prima di aggiornare un sistema operativo, fate un backup completo
dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero
sistema), controllate che le applicazioni che usate e il vostro hardware siano
compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio
d’ore di tempo per l’aggiornamento.
Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei
computer non particolarmente potenti o recenti non sembrano causare
rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è
compatibile o meno con l’aggiornamento non appena tentate di avviarlo.
Windows 11
La nuova versione del sistema operativo di Microsoft offre un nuovo design
molto pulito, che però ha una scelta probabilmente controversa: il pulsante
Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in
basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella
memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.
A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le
applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se
con alcune
limitazioni
hardware e geografiche. C’è una gestione più potente dei monitor multipli e
delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.
MacOS 12 (Monterey)
Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.
La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.
I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.
Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un
problema serio dei nuovi Mac con la tacca per la webcam:
Se avete un dispositivo Apple di qualunque genere (iPhone, iPad, Mac e Apple
Watch), aggiornatelo subito. Apple ha rilasciato il 13 settembre degli aggiornamenti
d’emergenza per bloccare due vulnerabilità, una delle quali consente di mettere a segno un
attacco invisibile sui suoi dispositivi senza richiedere alcuna azione da parte della vittima.
L’attacco consente di attivare telecamere e microfono, registrare messaggi,
SMS, mail e chiamate vocali (comprese quelle cifrate con app come Signal).
La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di
tvOS e la versione 7.6.2 di watchOS risolvono il problema.
Apple ha informazioni sulle falle e sugli aggiornamenti correttivi presso questi URL:
La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata
scoperta da Citizen Lab, un noto gruppo canadese di attivisti per la privacy e la sicurezza digitale, riguarda iMessage e viene sfruttata per esempio per iniettare un malware,
denominato Pegasus, che è stato sviluppato dalla società israeliana NSO
Group ed è già stato usato per penetrare negli iPhone di vari attivisti
politici in modo completamente invisibile.
L’attacco, spiega
Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene
un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo
PDF malformato causa un crash di IMTranscoderAgent sul dispositivo
(dovuto a un integer overflow nella libreria CoreGraphics di rendering
delle immagini), e il crash consente l’esecuzione di codice malevolo sul
dispositivo attaccato.
La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice sul dispositivo della vittima.
Anche se non siete dissidenti o attivisti, il fatto che esistano queste
vulnerabilità è ora di dominio pubblico e quindi è presumibile che verranno
sfruttate anche dalla criminalità informatica comune per attacchi su bersagli
meno sensibili. In altre parole, per colpire anche utenti comuni.
Preparatevi a una certa attesa, perché tutti stanno scaricando gli
aggiornamenti ed è prevedibile che i server di Apple siano leggermente
sovraccarichi.
Se avete un Mac, non aspettate ad aggiornarlo: la versione 11.3 di macOS
corregge una
vulnerabilità davvero
grossa, che consente di scavalcare Gatekeeper, ossia il controllo di
sicurezza del sistema operativo che in teoria dovrebbe rendere impossibile
eseguire software proveniente da fonti non attendibili.
In realtà,
spiegano
i ricercatori di sicurezza, era possibile confezionare un malware che non
veniva affatto verificato da Gatekeeper e che poteva infettare il computer
della vittima semplicemente con un doppio clic sull’icona del’app.
Questa tecnica era nota ai criminali almeno da gennaio 2021: veniva usata, per
esempio, per diffondere Shlayer, un falso aggiornamento di Flash Player che
tempestava il Mac di pubblicità (un adware, insomma, mostrato qui
sopra). Gli utenti si fidavano del fatto che Gatekeeper non protestava se si
tentava di eseguire il programma non verificato e quindi lo eseguivano,
scatenando l’infezione.
Esisteva anche un altro
modo
per eludere Gatekeeper: era sufficiente confezionare il programma ostile
all’interno di un file ZIP appositamente confezionato. Anche questo problema è
stato risolto dall’aggiornamento del Mac, insieme a una sessantina di altre vulnerabilità.
Apple ha rilasciato aggiornamenti anche per macOS Catalina e Mojave.
Avete mai provato a far dire cose strane o addirittura parolacce agli
assistenti vocali? Se l’avete fatto, o se avete seguito i miei podcast
recenti, avrete notato che si rifiutano.
Ma se una delle vostre aspirazioni
fondamentali nella vita è riuscire a convincere la compassatissima voce di un
computer a dire cosacce o ridicolaggini, o più seriamente vi serve una voce
neutra che legga un testo o un annuncio, ho una soluzione facile per voi.
È sufficiente avere un Mac e aprire una finestra di Terminale (Applicazioni - Utility - Terminale). Qui si digita say seguito dalla frase che volete far declamare alla
voce computerizzata. Tutto qui.
L’accento della voce è quello della lingua scelta per l’interfaccia di MacOS,
per cui preparatevi a letture bislacche se usate testi in lingue differenti.
Potete però andare nelle Preferenze di Sistema, nella sezione Accessibilità, e
scegliere altre voci, oppure scrivere il nome della voce che vi interessa dopo
il comando say.
Per sapere quali voci sono disponibili potete digitare
say -v '?' (compreso il punto interrogativo fra apici). Questo è il risultato sul mio Mac:
In italiano, per esempio, potete scegliere Alice o Luca. In inglese ci sono vari accenti: Alex, Fred, Samantha e Victoria (US), Daniel (GB), Fiona (Scozia), Karen (Australia), Moira (Irlanda), Rishi e Veena (India), Tessa (Sud Africa), con vari livelli di qualità. Per esempio:
say -v SamanthaSpace, the final frontier. These are the voyages of the Starship Enterprise...
Il comando say ha moltissime altre opzioni, compresa quella di salvare su file: per richiamarle tutte basta
digitare man say.
Per esempio, per chiedere al Mac di leggere un file di testo si dà il comando
say -v [nome della voce] -f [nome del file]
Se si vuole salvare su file la lettura, il comando è
say -v [nome della voce] -f [nome del file] -o [nome del file audio AIFF da generare]
Se avete dispositivi iOS, è di nuovo ora di aggiornarli, e senza perdere tempo, perché Google ha scoperto tre falle di sicurezza che vengono già utilizzate attivamente per compiere attacchi informatici.
I dispositivi Apple colpiti sono gli iPhone dal 6s in poi, gli iPod touch di settima generazione, gli iPad Air 2 e successivi e gli iPad mini 4 e successivi, scrive Ars Technica. I dettagli delle falle sono descritti da Apple qui.
Apple ha già corretto queste falle e altre vulnerabilità rilasciando iOS 14.2, e ci sono aggiornamenti correttivi anche per gli utenti di computer Apple, che portano macOS alla versione 10.15.7.
Installate questi aggiornamenti appena possibile. Fra l’altro, includono parecchi miglioramenti e nuove funzioni, oltre a 100 nuove emoji. Che purtroppo sono probabilmente quello che motiverà maggiormente tanti utenti.
Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.
La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.
Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!
Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.
La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:
In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.
La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.
Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.
Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.
Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.
Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.
Apple distribuirà a partire da luglio in versione beta (subito se usate questo metodo) le nuove edizioni dei suoi principali sistemi operativi, presentati pochi giorni fa alla WWDC (quest’anno preregistrata e senza pubblico per via della pandemia). Le versioni definitive saranno disponibili in autunno.
Come ogni volta, si pone il problema di capire quali dispositivi Apple potranno adottarli, con tutte le loro novità, e quali resteranno esclusi e quindi diventeranno obsoleti. Ecco un riassuntino per orientarvi nei vostri eventuali acquisti.
IPhone: se avete potuto aggiornare il vostro iPhone ad iOS 13, potrete aggiornarlo anche ad iOS 14. Sono inclusi anche l’iPhone 6S e l’iPhone SE di prima generazione.
iPad: come sopra. Se ci gira iOS 13, ci girerà iOS 14.
Mac: le cose si fanno complicate. Saranno compatibili con Big Sur i MacBook dal 2015 in poi, i MacBook Air dal 2013 in poi, i MacBook Pro da fine 2013 in poi, i Mac mini dal 2014 in poi, gli iMac dal 2014 in poi, gli iMac Pro dal 2017 in poi e i Mac Pro dal 2013 in poi. Facile, no? Un elenco completo è su LifeHacker.
Apple ha annunciato pochi giorni fa che non userà più processori Intel per i suoi computer portatili, adottando invece processori ARM come quelli dell’iPhone e iPad a partire dalla fine del 2020.
È una vera e propria rivoluzione, paragonabile a quella del 2006, quando Apple abbandonò a sorpresa i processori PowerPC per passare a Intel.
La questione può sembrare molto tecnica e astratta, ma ha delle conseguenze pratiche per chiunque usi un Mac portatile. Che fine faranno tutti i programmi che sono stati scritti per i laptop con processori Intel? Che succede se i loro sviluppatori decidono di non riscriverli? Dovremo ricomprare tutto?
Apple ha spiegato che ci sarà una transizione di circa due anni, durante la quale verranno ancora rilasciati computer con i processori Intel, e che ci sarà un software di emulazione, chiamato Rosetta 2, che permetterà di far girare sui nuovi processori i vecchi programmi. Ma di solito questo genere di emulazione comporta sempre incompatibilità e rallentamenti.
Per contro, le app che girano su iPhone e iPad funzioneranno direttamente e nativamente sui nuovi Mac ARM, e Apple ha avviato il programma “Universal Purchase”, per cui chi compra un’app ha la licenza per usarla su iOS, iPadOS e macOS. Quindi la necessità di ricomprare programmi dovrebbe essere abbastanza limitata.
Il vero problema è l’hardware. Chi stava pensando di acquistare un Mac portatile rischia ora di trovarsi con un computer che invecchierà molto più in fretta del normale. Se non avete fretta, conviene aspettare almeno fino a fine anno. Allo stesso tempo, può essere un buon momento per acquistare un Mac Intel a prezzo scontato. Leggete attentamente le offerte che troverete in giro nei prossimi mesi.
Usate Adobe Acrobat DC su un Mac? Allora aggiornatelo subito: Adobe ha pubblicato un aggiornamento di sicurezza che risolve tre falle critiche (CVE-2020-9615, CVE-2020-9614 e CVE-2020-9613), come segnalato da Gizmodo.
L’aggiornamento alla versione 20.009.20063 elimina un difetto che consentiva di avere accesso di root a un Mac senza lasciare tracce, scavalcando le protezioni standard di MacOS.Per proteggersi, però, l’utente deve attivare la modalità protetta all’avvio di Adobe DC (è nelle Impostazioni dell’applicazione). Questa falla non è sfruttabile via Internet, ma è utilizzabile da chiunque possa avere accesso fisico al Mac: un accesso che è spesso dimenticato ed è più facile di quel che molti immaginano.
Il vostro Mac è al sicuro in ufficio, dite? Beh, allora vi fidate ciecamente di tutti i vostri colleghi e anche del personale delle pulizie. E dei visitatori e degli addetti alla manutenzione. Se avete il computer a casa, provate a pensare a quante persone hanno accesso al vostro computer: partner, figli, amici. Non per nulla una delle tecniche di penetrazione informatica più diffuse si chiama evil maid attack.
Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.
In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.
Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).
Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.
Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.
Mezzo pianeta è fermo, ma gli aggiornamenti software vanno avanti lo stesso. Apple ha rilasciato aggiornamenti per tutti i suoi sistemi operativi per tablet, orologi, media player, telefoni e computer.
Si passa così alla versione 13.4 per iOS, iPadOS e tvOS, mentre gli Apple Watch si aggiornano alla versione 6.2 e i Mac arrivano alla versione 10.15.4 di macOS.
Tutti questi aggiornamenti introducono migliorie e correzioni, ma forse quelle più significativo per molti utenti riguardano iPadOS e iOS, che ora offrono il supporto completo per trackpad e puntatori (sia Bluetooth, sia cablato, con qualche difficoltà). I tablet Android offrivano questa possibilità da molto tempo e finalmente Apple l’ha aggiunta anche ai propri dispositivi.
Per usare un mouse Bluetooth su un iPad è sufficiente andare nelle Impostazioni, attivare il Bluetooth e abbinare il mouse. Gizmodo ha una guida dettagliata a tutti i comandi resi possibili dall’uso di mouse o trackpad.
Come sempre, prima di fare un aggiornamento del software, ricordatevi di creare una copia di sicurezza dei vostri dati, per non perderli qualora l’aggiornamento fallisse.
Diversi utenti del MacBook Pro da 13 pollici stanno segnalando che il laptop si spegne di colpo quando la batteria scende grosso modo sotto il 50%. Come mai?
Apple lo ha spiegato in una pagina di supporto, non disponibile per ora in italiano, bisogna esorcizzare il folletto collegando il laptop all’alimentatore, uscendo da tutte le applicazioni aperte, chiudendo il coperchio per mettere il computer in sleep mode, e poi lasciandolo sotto carica per almeno otto ore. Fatto questo, bisogna aggiornare macOS, e tutto passa.
Il problema, a quanto pare, è causato dal fatto che la batteria ha un processore che memorizza la percentuale di carica residua e che in alcuni casi viene memorizzato un dato sbagliato. “La batteria è convinta di avere ancora carica e trasmette una certa percentuale di carica residua, ma invece è totalmente scarica”, spiega Dday.it.
Come disse lo scrittore di fantascienza Arthur C. Clarke, qualunque tecnologia sufficientemente avanzata è indistinguibile dalla magia.
MacOS 10.15 Catalina è disponibile al pubblico da qualche giorno, ma prima di installarlo consiglio caldamente, oltre al consueto backup dei dati, di controllare se avete ancora applicazioni a 32 bit.
Catalina, infatti, non supporta più queste applicazioni. Se avete applicazioni a 32 bit che vi servono, controllate se ne esiste una versione a 64 bit e installatela.
Per controllare quali applicazioni sono a 32 bit, mi associo al consiglio di @OSX_rulez: tenendo premuto il tasto Opzione, cliccate sul menu Mela e scegliete la voce “Informazioni di sistema”. Nella finestra che si apre, scegliete Software e poi Applicazioni e sfogliate la lista delle applicazioni, ordinandola in base alla colonna 64 bit).
Nel mio caso, ho trovato una sola applicazione importante a 32 bit, ossia Audacity, l’ho aggiornata alla 2.3.2 che è a 64 bit (e ho aggiornato la relativa libreria FFmpeg), e ho rinunciato alle altre.
Per installare Catalina servono almeno 12 GB di spazio libero secondo il programma d’installazione, ma in realtà ne servono almeno 20, perché l’aggiornamento ne pesa 8.
L’ho installato poco fa su uno dei miei laptop e sembra funzionare a dovere. Ora devo provare le sue nuove funzioni. In particolare mi interesserebbe Sidecar, che consente di usare un iPad come secondo schermo, ma il mio Macbook Pro è troppo vecchio (2015) e non è supportato per questa funzione.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
.jpg)
