Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Sviluppatore trova un punto debole nella sicurezza macOS: “Apple sonnecchia”

Sviluppatore trova un punto debole nella sicurezza macOS: “Apple sonnecchia”

Pubblicità

Jeff Johnson è uno sviluppatore che, appena Apple ha rinnovato il suo programma di Bug Bounty lo scorso anno, si è dato da fare per cercare di ottenere i compensi promessi dalla Mela a chi scopre importanti vulnerabilità sul versante sicurezza.

Johnson ha individuato un “exploit” (lo sfruttamento di una vulnerabilità che consente di accedere abusivamente ad un sistema o mettere in atto azioni malevole) che consentirebbe ad un cybercriminale di accedere ai file privati dell’utente tramite Safari, un problema che non è stato risolto neanche nella prima beta di macOS 11 Big Sur. Lo sviluppatore riferisce che il bug è senza patch da oltre sei mesi, elemento che lo ha portato a rinunciare al bounty program e descrivere il comportamento della Casa della Mela “un teatrino”.

L’exploit di tipo zero-day è potenzialmente preoccupante: un utente di Safari potrebbe essere invogliato a scaricare da un sito web un file apparentemente innocuo e con questo  consentire a un attacker di creare un clone modificato di Safari, elemento che macOS tratta alla stregua dell’app originale. “Qualsiasi file riservato che è accessibile da Safari”, spiega lo sviluppatore, diventa accessibile all’attacker che può automatizzare l’invio su suoi server di file che invece dovrebbero essere protetti.

Johnson riferisce che l’exploit è possibile per il meccanismo di protezione della privacy denominato da Apple “Transparency, Consent and Control” (TCC) con eccezioni che tengono conto del solo identificatore dell’app e non da dove il file è eseguito, “controllando solo superficialmente la firma del codice dell’app”.  La versione modificata della copia di Safari può essere eseguita da una directory errata senza tenere conto delle protezioni TCC, un problema che si presenta su macOS 10.14 (Mojave), 10.15 (Catalina), macOS 11 (Big Sur), mettendo potenzialmente a rischio gli utenti.

Individuate vulnerabilità che permettono di bloccare in remoto server Linux e FreeBSD

Exploit a parte, Johnson lamenta le risposte intermittenti di Apple, portandolo a non avere fiducia nella velocità e probabilità di ottenere una ricompensa per quanto scoperto.

Il problema è stato segnalato a dicembre 2019 e a giugno 2020 non è stato ancora risolto: tempi superiori ai 90 giorni tipicamente richiesti in questo ambito per risolvere problematiche di vario tipo. Al momento il modo migliore per evitare di incappare in problemi è non di scaricare app da fonti sconosciute, effettuando il download solo da fonti affidabili come il Mac App Store.


A questo indirizzo trovate un lungo articolo che spiega come tenere sempre al sicuro il Mac, tenendo conto di alcuni semplici accorgimenti.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Black Friday

BOZZA PER LISTONE BLACK FRIDAY NON TOCCARE - macitynet.it

Per trovare le migliori occasioni di Black Friday Week, BlackFriday e CyberMonday: visitate la nostra pagina con tutte le offerte Black Friday costantemente aggiornata con tutte le news pubblicate e iscrivetevi ai nostri 2 canali telegram Offerte Tech e Oltre Tech per le offerte lampo e le offerte WOW che sono diverse ogni giorno e durano 16 ore.

Consultate il banner in alto nelle pagine di Macitynet sia nella versione mobile che desktop: vi mostreremo a rotazione gli sconti top.

Dalla 00.00 del 21 Novembre fino alla mezzanotte del 2 Dicembre vi mostriamo tutti i prodotti delle selezioni Apple, monitor, SDD etc. Nel corso delle ore anche l'elenco qui sotto si popolerà con i link agli articoli principali divisi per categorie.

Nota: I prezzi riportati in verde nelle offerte Amazon sono quelli realmente scontati e calcolati rispetto ai prezzi di listino oppure alla media dei prezzi precedenti. Il box Amazon riporta normalmente gli sconti rispetto al prezzo medio dell'ultimo mese o non riporta affatto lo sconto. Le nostre segnalazioni rappresentano una convenienza di acquisto e comunque controllate sempre il prezzo nella pagina di arrivo. Segnaliamo anche offerte dirette delle aziende.

Apple

Video, Foto, Creatività

Audio

Smartphone e Accessori

Accessori computer 

Software

Domotica

Casa, Cucina e Giardinaggio

Sport e attività all'aperto, Salute

Prodotti Amazon e settori di offerte

Pubblicità

Ultimi articoli

Pubblicità