Questo sito contiene link di affiliazione per cui può essere compensato

Home » Macity - Apple » Mac OS X » Click sintetico, l’attacco a macOS che effettua click a insaputa dell’utente

Click sintetico, l’attacco a macOS che effettua click a insaputa dell’utente

Pubblicità

Nel corso dell’evento Defcon che si è svolto a Las Vegas la scorsa settimana, un ricercatore ha dimostrato l’esistenza di una vulnerabilità zero-day in macOS, una falla per la quale non è al momento disponibile nessuna soluzione.

Patrick Wardle, Chief Research Officer di Digita Security, ha descritto un potenziale problema denominato Synthetic Click, click sintetico e in generale delle interazioni “sintetiche” con l’interfaccia utente (UI) che potrebbe comportare  diverse problematiche di sicurezza in macOS.

Eventi sintetici frutto dell’interazione di un utente con un’app, si possono creare quando un attacker è in grado di cliccare virtualmente su un oggetto e caricare codice senza il consenso dell’utente. Se un malintenzionato è in qualche modo in grado di fare click ai prompt di sicurezza visualizzati dal sistema e caricare estensioni del kernel, può teoricamente compromettere tutto il sistema operativo.

macOS

“Con un singolo click, è possibile bypassare un numero infinito di meccanismi di sicurezza” ha spiegato il ricercatore: avviare applicazioni di sviluppatori non identificati, autorizzare l’accesso al portachiavi, consentire il caricamento di estensioni di terze parti per il kernel, accettare connessioni in entrata dalla rete e così via.

Gli utenti possono normalmente bloccare questo tipo di attacchi alla comparsa delle finestre di dialogo ma secondo Wardle è possibile generare click in modo silenzioso e invisibile. La falla è indicata nel dizionario delle vulnerabilità e falle di sicurezza note pubblicamente come CVE-2017-7150, ed è un bug che riguarda le moderne versioni di macOS anteriori a macOS 10.13.

Una debolezza di macOS consente l’esecuzione di codice con privilegi elevati in grado di interagire con componenti dell’interfaccia utente, incluse le finestre di dialogo che mostrano avvisi legati alla sicurezza, permettendo potenzialmente di ottenere anche l’accesso al portachiavi e alle password memorizzate in quest’ultimo.

Apple è consapevole del problema e ha rilasciato un aggiornamento (Il Supplemental Update di Hih sierra che include un fix denominato User Assisted Kernel Extension Loading) per mitigare il problema obbligando l’utente a cliccare manualmente il pulsante “consenti” nelle finestre di dialogo con gli avvisi di sicurezza che appaiono quando qualche applicazione tenta di caricare una estensione del kernel.

Secondo Wardle il redesign dell’interfaccia utente non basta ed è facilissimo bypassare la protezione prevista da Apple (che tiene conto solo del click e del rilascio del mouse/trackpad). La nuova versione di macOS, macOS 10.14 Mojave, blocca del tutto il problema degli eventi sintetici; gli esperti di sicurezza spiegano però che questo potrebbe impedire il funzionamento di servizi e app perfettamente legittime.

Se volete conoscere tutto su macOS 10.4 Mojave vi rimandiamo a questo articolo di approfondimento. Per tutte le notizie incluse le applicazioni aggiornate appositamente, le novità e i tutorial per il sistema operativo visitate la pagina macOS Mojave di macitynet. I tutorial per Mac sono tutti raccolti in questa pagina del nostro sito.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Black Friday

BOZZA PER LISTONE BLACK FRIDAY NON TOCCARE - macitynet.it

Per trovare le migliori occasioni di Black Friday Week, BlackFriday e CyberMonday: visitate la nostra pagina con tutte le offerte Black Friday costantemente aggiornata con tutte le news pubblicate e iscrivetevi ai nostri 2 canali telegram Offerte Tech e Oltre Tech per le offerte lampo e le offerte WOW che sono diverse ogni giorno e durano 16 ore.

Consultate il banner in alto nelle pagine di Macitynet sia nella versione mobile che desktop: vi mostreremo a rotazione gli sconti top.

Dalla 00.00 del 21 Novembre fino alla mezzanotte del 2 Dicembre vi mostriamo tutti i prodotti delle selezioni Apple, monitor, SDD etc. Nel corso delle ore anche l'elenco qui sotto si popolerà con i link agli articoli principali divisi per categorie.

Nota: I prezzi riportati in verde nelle offerte Amazon sono quelli realmente scontati e calcolati rispetto ai prezzi di listino oppure alla media dei prezzi precedenti. Il box Amazon riporta normalmente gli sconti rispetto al prezzo medio dell'ultimo mese o non riporta affatto lo sconto. Le nostre segnalazioni rappresentano una convenienza di acquisto e comunque controllate sempre il prezzo nella pagina di arrivo. Segnaliamo anche offerte dirette delle aziende.

Apple

Video, Foto, Creatività

Audio

Smartphone e Accessori

Accessori computer 

Software

Domotica

Casa, Cucina e Giardinaggio

Sport e attività all'aperto, Salute

Prodotti Amazon e settori di offerte

Pubblicità

Ultimi articoli

Pubblicità