In occasione della PacSec 2012, conferenza che si svolge a Tokyo, lo specialista in sicurezza informatica Paul Sebastian Ziegler ha provato che è possibile aggirare la sandbox di OS X, mostrando un programma che, all’insaputa dell’utente, registra tutto quanto digitato con la tastiera o salva schermate a intervalli regolari.
Il sandboxing, lo ricordiamo, è una tecnologia che costringe le applicazioni a essere avviate all’esterno di alcuni punti “strategici” del sistema operativo, limitando le operazioni che possono eseguire, a beneficio di maggior sicurezza per l’utente finale anche se con alcuni svantaggi per gli sviluppatori.
Il trucco di Ziegler consiste nello sfruttare le API per l’accessibilità integrate di serie in OS X 10.8 Mountain Lion e pensate per aiutare gli utenti con difficoltà visive o uditive. Lo sviluppatore ha rivelato alcune debolezze del sistema mostrando come una simile applicazione potrebbe teoricamente essere anche e approvata sul Mac App Store. Nella dimostrazione è stato mostrato come la memorizzazione di quanto digitato dall’utente consente di ricavare la password dell’account amministratore. Non è chiaro se Apple sarà in grado di correggere la vulnerabilità senza compromettere le funzioni di accessibilità di serie con OS X ma è probabile che gli sviluppatori di Cupertino siano già al lavoro per risolvere il problema.
[A cura di Mauro Notarianni]
