Jeff Johnson è uno sviluppatore che, appena Apple ha rinnovato il suo programma di Bug Bounty lo scorso anno, si è dato da fare per cercare di ottenere i compensi promessi dalla Mela a chi scopre importanti vulnerabilità sul versante sicurezza.
Johnson ha individuato un “exploit” (lo sfruttamento di una vulnerabilità che consente di accedere abusivamente ad un sistema o mettere in atto azioni malevole) che consentirebbe ad un cybercriminale di accedere ai file privati dell’utente tramite Safari, un problema che non è stato risolto neanche nella prima beta di macOS 11 Big Sur. Lo sviluppatore riferisce che il bug è senza patch da oltre sei mesi, elemento che lo ha portato a rinunciare al bounty program e descrivere il comportamento della Casa della Mela “un teatrino”.
L’exploit di tipo zero-day è potenzialmente preoccupante: un utente di Safari potrebbe essere invogliato a scaricare da un sito web un file apparentemente innocuo e con questo consentire a un attacker di creare un clone modificato di Safari, elemento che macOS tratta alla stregua dell’app originale. “Qualsiasi file riservato che è accessibile da Safari”, spiega lo sviluppatore, diventa accessibile all’attacker che può automatizzare l’invio su suoi server di file che invece dovrebbero essere protetti.
Johnson riferisce che l’exploit è possibile per il meccanismo di protezione della privacy denominato da Apple “Transparency, Consent and Control” (TCC) con eccezioni che tengono conto del solo identificatore dell’app e non da dove il file è eseguito, “controllando solo superficialmente la firma del codice dell’app”. La versione modificata della copia di Safari può essere eseguita da una directory errata senza tenere conto delle protezioni TCC, un problema che si presenta su macOS 10.14 (Mojave), 10.15 (Catalina), macOS 11 (Big Sur), mettendo potenzialmente a rischio gli utenti.
Exploit a parte, Johnson lamenta le risposte intermittenti di Apple, portandolo a non avere fiducia nella velocità e probabilità di ottenere una ricompensa per quanto scoperto.
Il problema è stato segnalato a dicembre 2019 e a giugno 2020 non è stato ancora risolto: tempi superiori ai 90 giorni tipicamente richiesti in questo ambito per risolvere problematiche di vario tipo. Al momento il modo migliore per evitare di incappare in problemi è non di scaricare app da fonti sconosciute, effettuando il download solo da fonti affidabili come il Mac App Store.
A questo indirizzo trovate un lungo articolo che spiega come tenere sempre al sicuro il Mac, tenendo conto di alcuni semplici accorgimenti.