Ultimo aggiornamento: 2022/01/28 2:40.
Se avete un computer Apple, aggiornatelo appena possibile alla versione più
recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto
una serie di falle davvero notevoli nella sicurezza dei computer di questa
marca, che permettevano di prendere il controllo di tutti gli account
aperti della vittima e, ciliegina sulla torta, anche della sua webcam.
La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e
Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un
potere del genere o rivenderlo a qualche banda di criminali informatici
contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al
momento in cui sono disponibili delle correzioni. Per questa sua scelta
responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal
programma di
bug bounty
dell’azienda, che prevede premi variabili a seconda della gravità della falla
segnalata responsabilmente.
Ma come è possibile che delle falle di un sistema operativo (in questo caso
macOS) permettano di prendere il controllo degli account della vittima? A
prima vista sembrerebbero due cose molto distinte. Pickren ha
spiegato
i dettagli della sua
tecnica di attacco.
Il primo passo è molto banale: convincere la vittima a visitare con Safari, il
browser standard di Apple, un sito che fa da trappola. Il sito non contiene
virus o altro: ospita semplicemente un documento innocuo, per esempio
un’immagine di un tenerissimo cucciolo o il classico
buongiornissimo caffé, collegato tramite un link (URI) speciale,
icloud-sharing:, che viene usato normalmente da Safari per i documenti
condivisi tramite iCloud.
In pratica la vittima, quando visita il sito-trappola, riceve un invito a
scaricare un documento condiviso innocuo. Se accetta, come è probabile se il
documento ha un nome allettante, Safari scarica il documento stesso. La
vittima apre il documento, vede che è una foto non pericolosa e non ci pensa
più.
Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha
un effetto molto insolito: siccome il documento è stato scaricato usando la
funzione di condivisione di Apple,
il creatore del documento condiviso può cambiare a proprio piacimento il
contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio
da un programma eseguibile, che a questo punto l’aggressore può attivare sul
Mac della vittima quando vuole.
L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi
non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per
eludere questi controlli. Il programma ostile iniettato nel Mac della vittima
può quindi agire indisturbato, senza che la vittima riceva richieste di
approvazione, ed eseguire per esempio del JavaScript che può fingere di
provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro
sito (è possibile impostarne l’origin a piacimento) e può fare tutto
quello che può fare la vittima nel proprio account presso questi servizi:
pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche
attivare la webcam.
Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave
che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività
(creando una backdoor).
Morale della storia: non fidatevi delle offerte di scaricare documenti
condivisi da siti che non conoscete, neanche se i documenti sembrano innocui,
e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato
una copia di sicurezza dei vostri dati.
A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per
i media player della stessa marca, per i suoi altoparlanti smart (che
finalmente introducono il
riconoscimento vocale multiutente
in italiano), per gli iPhone e per gli iPad. Smartphone e tablet
passano
alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di
scoprire quali altri siti avevate visitato e di ottenere altri dati personali.
Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono
come sempre sul
sito di Apple.