Linuz Henze, un ricercatore specializzato in sicurezza informatica ha individuato una falla in macOS Mojave, presente anche nell’ultima versione 10.14.3. In un video pubblicato su YouTube, filmato che riportiamo in questo articolo, il ricercatore dimostra la possibilità di accedere alle varie password salvate in Accesso Portachiavi eseguendo una utility ad hoc.
L’esperto non ha condiviso i dettagli sulla vulnerabilità con Apple spiegando di non averlo fatto perché la multinazionale di Cupertino non prevede ricompense o offerte: a suo dire Apple prevede un cosiddetto programma di bug bounty che premia chi individua vulnerabilità di questo tipo ma premia solo quelle che riguardano iOS.
Usando una sua utility che il ricercatore ha denominato KeySteal, Henze evidenzia la possibilità di individuare username e password memorizzate in Accesso Portachiavi, l’utility di serie con macOS che consente di archiviare le password e inserirle automaticamente quando necessario, ma anche cercarle facilmente quando serve.
Il ricercatore spiega che non ha importanza se è attiva o meno la lista di controllo degli accessi (ACL, access control list), in altre parole se per la chiave (la combinazione di una username e password) è attiva l’opzione nel pannello “Controllo accessi” nella finestra “Ottieni informazioni” che consente di stabilire se abbiamo bisogno di una password per utilizzare un elemento.
Henze dice che il suo sistema consente di accedere alle password di login e Sistema; non è possibile accedere alle password del portachiavi iCloud (il portachiavi che consente di mantenere aggiornate le password e altre informazioni protette su tutti i dispositivi) giacché queste sono memorizzate con un diverso meccanismo.
Henze dice che per il momento non ha intenzione di rivelare dettagli sulla vulnerabilità poiché non gradisce la politica di Apple che non premia chi individua questi bug. Invita altri ricercatori a fare pressione su Cupertino per cambiare lo stato delle cose. Non è chiaro se Apple sia a conoscenza o meno del problema.
È ad ogni modo possibile bloccare l’accesso a strumenti come il tool mostrato dallo sviluppatore bloccando Portachiavi con una ulteriore password (basta selezionare con il tasto destro del mouse/trackpad l’elemento che appare a sinistra in alto nell’elenco dei Portachiavi e scegliere “blocca portachiavi”).