Nel corso della conferenza Black Hat di Las Vegas, evento dedicato alla sicurezza informatica che riunisce ogni anno migliaia tra i maggiori esperti e ricercatori di cyber security a livello globale, alcuni ricercatori hanno dimostrato un exploit in uno strumento di Apple dedicato al mondo enterprise, una falla che, almeno in teoria, permette di compromettere un Mac nella fase di setup iniziale sfruttando il collegamento Wi-Fi.
Il bug è stato già risolto da Apple con l’update a macOS 10.13.6 ma potrebbe mettere a rischio computer non ancora aggiornati al nuovo sistema. Il bug è stato individuato da Jesse Endahl, chief security officer responsabile Mac management presso l’azienda Fleetsmith e da Max Bélanger, staff engineer di Dropbox. Il bug riguarda i sistemi di management hardware che Apple dedica al mondo enterprise, strumenti che potrebbero essere sfruttati da cybercriminali per prendere di mira il Mac.
L’hacking ha permesso di dimostrare la possibilità, con metodi piuttosto complessi, di portare a termine un attacco man-in-the-middle in grado di scaricare un malware o altro software malevolo sul computer-target dapprima che l’utente esegue il login per la prima volta.
Appleinsider spiega che gli strumenti enterprise della Mela, Device Enrollment Program e la piattaforma Mobile Device Management, funzionano in tandem fornendo strumenti di semplice uso dedicati per impostare il setup a regime nelle aziende che hanno la necessità di effettuare il deployment ai dipendenti di un gran numero di dispositivi.
Alle aziende come Fleetsmith, Apple offre soluzioni di MDM (mobile device management) che permettono di impostare nuovo hardware con tutto quanto richiesto dall’azienda. Quando l’utente avvia il Mac la prima volta ed esegue il login, il computer si collega ai server Apple e a quelli del vendor MDM per ritrovare la configurazione ad hoc già impostata per lui dal reparto IT.
Il Mac si collega da server a server per prelevare gli asset in dotazione e completare il setup automatico, quello che, in ultima analisi, permette di configurare la macchina pronta all’uso per l’utente, integrata nell’infrastruttura personalizzata di MDM. Endahl e Bélanger hanno individuato un problema nella funzionalità di ricerca dei certificati che consente di autenticare i server nel processo di configurazione.
In particolare, il bug riguarda la sequenza MDM di Apple che, nel processo che gestisce la macchina con l’App Store, non completa in modo corretto la procedura di verifica dell’autenticità delle app, una falla che consentirebbe a cybercriminali di installare codice malevolo su un Mac-target in remoto, senza che l’utente si accorga di quello che sta accadendo.
Apple ha corretto il problema con l’aggiornamento a macOS 10.13.6 ma alcuni utenti potrebbero essere a rischio. Il problema potrebbe – teoricamente riguardare gli utenti che acquistano un nuovo Mac che arriva in azienda senza essere prima aggiornato.