In OS X 10.11 El Capitan è integrata una tecnologia di sicurezza che aiuta a proteggere il Mac da software pericoloso. La System Integrity Protection (SIP) dovrebbe impedire a software potenzialmente pericoloso di modificare i file e le cartelle di sistema sul Mac. In OS X l’account utente “root” in precedenza non aveva restrizioni di autorizzazioni e consentiva di accedere a qualsiasi cartella o applicazione di sistema. Il software otteneva l’accesso di livello root immettendo nome e password di amministratore per installarlo ed era in grado di modificare o sovrascrivere qualsiasi file o applicazione di sistema.
Il meccanismo di protezione SIP integrato in OS X 10.11 applica restrizioni all’account root e limita le azioni che l’utente root può eseguire sulle parti protette di OS X, proteggendo le cartelle /Sistema, /usr, /bin, /sbin e le App preinstallate di serie con OS X. La System Integrity Protection consente di applicare modifiche alle parti protette solo ai processi firmati da Apple (es. gli aggiornamenti software e i programmi di installazione della Mela) che dispongono di speciali diritti per scrivere sui file di sistema. Il meccanismo, insomma, dovrbebe impedire che software non creati da Apple modifichino il volume di avvio.
Ricercatori di SentinelOne hanno individuato una falla nel meccanismo di protezione, una vulnerabilità che consente di ottenere i privilegi più elevati e bypassare la SIP sfuttando lo GNU Debugger. Apple è al corrente della situzione ed una patch, spiegano i ricercatori, dovrebbe essere rilasciata a breve. La vulnerabilità è di tipo zero day; i dettagli su come scavalcare la System Integrity Protection sono stati rivelati nel corso della SysCan360 2016 di Singapore. A quanto sembra di capire il problema può essere riprodotto mediante un attacco di spearphishing, una forma mirata di truffa via e-mail che ha l’unico intento di ottenere l’accesso non autorizzato ai dati sensibili prendendo di mira un gruppo specifico o un’organizzazione sfruttando tecniche di social engineering su misura personalizzando messaggi e siti Web per l’utenza che si desidera attaccare. Una copia della presentazione dei ricercatori con i dettagli tecnici è visibile a questo indirizzo.