C’è già un bug di sicurezza in macOS 10.14 Mojave, un aggiornamento che contiene un buon numero di novità. L’avrebbe scoperto il ricercatore Patrick Wardle di Digita Security nel nuovo sistema evidenziando un problema che consente a un’applicazione senza i privilegi di amministratore di bypassare i permessi a livello di sistema e recuperare informazioni da determinati tipi di app.
In un filmato pubblicato su Twitter, Wardle dimostra la possibilità di bypssare almeno una delle nuove protezioni integrate in Mojave. Nel video, un primo tentativo di accedere e copiare i Contatti usando il Terminale, fallisce come previsto dalle misure di sicurezza di Apple. Il ricercatore esegue poi un’applicazione senza privilegi denominata “breakMojave” in grado di individuare e accedere ai dati nei Contatti. Ottenuto l’accesso, Wardle è in grado di eseguire un elenco di comandi e visualizzare file memorizzati in cartelle riservate, compresi metadati e immagini.
Mojave's 'dark mode' is gorgeous ?
…but its promises about improved privacy protections? kinda #FakeNews ?0day bypass:https://t.co/rRf8t7C7Zf
btw if anybody has a link to ?'s macOS bug bounty program I'd ? to report this & other 0days -donating any payouts to charity ?
— patrick wardle (@patrickwardle) September 24, 2018
Al sito TechCrunch, Wardle ha spiegato che il meccanismo usato non è universale ma la procedura può essere sfruttata per ottenere accesso a dati protetti quando l’utente esegue il login a macOS. Non sembra un problema estremamente grave per la maggiorparte degli utenti ma la potenziale pericolosità non è da sottovalutare e Apple ricorrerà sicuramente a breve ai ripari.
Il ricercatore non ha indicato dettagli sulla vulnerabilità ma riferisce di volere attirare l’attenzione di Apple. La Casa di Cupertino non ha un programma di bug bounty per Mac (con ricompense in denaro per la segnalazione di bug particolarmente gravi). Nel filmato si vede lo script di Wardle che mostra una riga con la dicitura: “Submitting report to [email protected]. . .ERROR: macOS bug bounty program not found :/”, una presa in giro per invogliare Apple ad attivare un programma-premi per chi segnala vulnerabilità su macOS.
Apple ha attivato nel 2016 un programma di ricompensa per l’individuazione di falle in iOS e offre premi fino a 200.000$ per chi segnala bug legati ad esempio al secure boot ma non ha esiste un’iniziativa simile per macOS. Dettagli specifici non sono stati rivelati. Apple si metterà probabilmente in contatto con il ricercatore per ottenere i dettagli richiesti e rilascerà appena possibile un update specifico.
Macitynet ha messo online una utile guida per aiutarvi nella preparazione del Mac per l’aggiornamento al nuovo macOS: da come effettuare backup di sicurezza a come guadagnare spazio sul disco a tanti altri consigli utili. Trovate tutto su questa pagina di Macitynet.it
Per tutte le notizie incluse le applicazioni aggiornate appositamente, le novità e i tutorial per il sistema operativo visitate la pagina macOS Mojave di macitynet. I tutorial per Mac sono tutti raccolti in questa pagina del nostro sito.
