Una vulnerabilità non ancora risolta, permetterebbe agli hacker di bypassare completamente Gatekeeper su macOS Mojave. Apple è venuta a conoscenza della falla lo scorso 22 Febbraio e nonostante ciò non è stata in grado di risolvere il problema con l’ultimo aggiornamento (macOS 10.14.5).

Gatekeeper è un sistema di sicurezza che permette l’installazione di app firmate e verificate sul nostro computer, limitando così l’esecuzione di codici malevoli.

Stando al ricercatore di sicurezza Filippo Cavallarin, il quale ha scoperto e riportato questa vulnerabilità agli occhi di Apple, un app malevola sarebbe in grado di sfruttare la falla se e solo se trasferita da un unità esterna o condivisa nella stessa rete, in quanto Gatekeeper considera entrambi i casi come “sicuri”. Il risultato? Qualsiasi app eseguita da queste posizioni sarà avviata senza il controllo di Gatekeeper.

Ecco un video:

Combinando quindi la falla di Gatekeeper con un paio di funzionalità offerte da macOS, il malware potrebbe completamente alterare il comportamento di Gatekeeper mettendo a rischio il nostro computer.

Quali sono le due funzionalità offerte da macOS che potrebbero aumentare il rischio di attacchi?

The first legit feature is automount (also known as autofs) that lets you automatically mount a network share by accessing a special path—in this case, any path beginning with ‘/net/’. The second legit feature is that ZIP archives can contain symbolic links pointing to an arbitrary location (including ‘automount’ endpoints) and that macOS’s unarchiver doesn’t perform any check on the symlinks before creating them.

Cavallarin ha affermato che Apple ha smesso di rispondere alle sue email dopo averli avvisati del problema lo scorso 22 Febbraio. “Visto che Apple è a conoscenza del fatto che avrei reso pubblico il bug dopo 90 giorni, adesso rendo questa informazione pubblica,” scrive nel suo blog.

Nessun fix è disponibile al momento, se ve lo stavate chiedendo.

Siamo certi che Apple rilascerà un aggiornamento di sicurezza, ma fino ad allora vi consigliamo di disabilitare la funzionalità di “automount”. Come? La trovate nel post pubblicato da Cavallarin sul suo blog.

Advertise

TU COSA NE PENSI?