Apple ha eliminato da macOS 11 Big Sur la possibilità di installare profili di configurazione dalla linea di comando, un sistema che nelle attuali versioni di macOS permette di standardizzare le impostazioni dei Mac; un amministratore può ad esempio impostare profili che configurano i Mac per interagire con server su una rete aziendale o scolastica, predisporre varie modifiche tutte insieme su più macchine modificando le impostazioni Wi-Fi, le impostazioni VPN e altro ancora.
La funzionalità in questione sono utili in ambito enterprise per permettere ad un amministratore di sistema di distribuire nuove configurazioni a livello aziendale mediante script automatici.
La possibilità di distribuire profili di configurazione dalla linea di comando può ad ogni modo essere abusata anche da malware o adware, sfruttata per diffondere in modo silenzioso “infezioni” senza bisogno dell’interazione con ll’utente.
I cybercriminali che riescono in qualche modo ad avere accesso ai Deployment server o una sola macchina potevano sfruttare la linea di comando per distribuire configurazioni malevole dirottando le impostazioni di proxy, modificare le app di default e altro ancora.
ZDNet riferisce che da macOS 11 e seguenti è stato modificata la possibilità di usare la linea di comando per installare nuovi profili rimuovendo la modalità silenziosa (che non ha bisogno di interagire con l’utente). «A partire da macOS Big Sur non sarà più possibile completare l’installazione di profili usando il Terminale», ha spiegato Kevin Milden – Interface Designer di Apple – in un intervento nel corso dell’ultima conferenza per sviluppatori (WWDC 2020). «Quando cercate di installare un profilo dalla linea di comando, questo verrà trattato come se fosse un elemento “scaricato” e bisognerà completare l’installazione manualmente dalla sezione delle Preferenze di sistema».
In altre parole sarà necessaria l’interazione dell’utente e l’accesso fisico al sistema per completare l’operazione. Questo mette fine ad una tecnica abusata da malware e adware per attaccare gli utenti con meccanismi di “ingegneria sociale” che permettono di distribuire profili nelle reti aziendali..
Apple has done EXACTLY what I was hoping they would do to cope with the plague of adware installing malicious configuration profiles! In Big Sur, it will no longer be possible to install these profiles via the command line, or in any way without explicit user consent! 🤩 pic.twitter.com/di3xFutozs
— Thomas Reed (@thomasareed) June 23, 2020
La novità piace agli esperti di sicurezza. “Apple ha fatto ESATTAMENTE quello che speravo che facesse per affrontare la piaga degli adware che installano profili di configurazione malevoli”, ha scritto in un tweet Thomas Reed, direttore responsabile Mac & Mobile presso Malwarebytes.
Su macitynet.it trovate tutto su macOS Big Sur a partire da questa pagina. Qui tutte le informazioni su WWDC20, qui le info su Mac ARM e qui una galleria di immagini della prima beta in italiano di Big Sur.