Secondo un esperto, le principali vulnerabilità di sicurezza del macOS di Apple derivano spesso da lacune e da parti di codice trascurate.
Patrick Wardle, fondatore della Objective-See Foundation e importante ricercatore sulla sicurezza di iOS e macOS, ha parlato delle minacce di macOS alla RSA Conference 2022 di San Francisco scorso. Wardle ha spiegato ai partecipanti che spesso le vulnerabilità di cui gli aggressori hanno bisogno per compromettere i Mac non derivano da un’instancabile attività di “fuzzing” delle app e di reverse engineering del codice, ma piuttosto dal semplice lavoro nei punti ciechi del gigante tecnologico.
Per illustrare il suo punto di vista, Wardle ha citato due vulnerabilità, CVE-2021-30657 e CVE-2021-30853, che non si basavano entrambe su vulnerabilità tecniche del software nel sistema operativo macOS, ma piuttosto su falle nella logica del sistema operativo che consentivano alle applicazioni di fare cose che non avrebbero dovuto fare.
Nel caso di CVE-2021-30657, un utente malintenzionato sarebbe in grado di aggirare i controlli di sicurezza normalmente previsti da Apple semplicemente omettendo un singolo file. Wardle ha scoperto che quando alcuni tipi di applicazioni non contengono il file info.plist, non sono soggette agli strumenti di scansione normalmente utilizzati da Apple per escludere le applicazioni pericolose.
Il problema, secondo Wardle, risiede nel modo in cui macOS tratta le applicazioni con script. Quando viene creata senza il file info.plist, un’applicazione utilizzerà strumenti secondari per avviarsi che non effettueranno i normali controlli di sicurezza.
“Dal punto di vista del Finder e del sistema, si tratta di un’applicazione“, ha spiegato Wardle. “Poiché mancava un file info.plist, il sistema non ha rilevato alcun problema“.
Di conseguenza, il malware macOS potrebbe potenzialmente essere eseguito su un sistema senza essere individuato dagli strumenti e dai controlli di sicurezza di Apple. Wardle ha fatto notare che la CVE-2021-30657 è stata sfruttata come vulnerabilità zero-day l’anno scorso.
Analogamente, CVE-2021-30853 si basava su un problema nel modo in cui macOS controlla le applicazioni all’avvio.
Con questa falla, un utente malintenzionato sarebbe in grado di manipolare il percorso scripted di un’applicazione per far sì che le estensioni di sicurezza di Apple lascino le variabili chiave impostate come “null“. Quando queste variabili sono impostate, i controlli per verificare se un’applicazione è autorizzata e sicura da eseguire non vengono eseguiti e, di conseguenza, il malware potrebbe potenzialmente non essere controllato.
L’esperto di sicurezza Apple Patrick Wardle ha suggerito agli utenti di bloccare qualsiasi elemento non notificato sui loro sistemi per evitare che il malware macOS attecchisca.
In entrambi i casi, i bug richiedono che gli utenti scarichino e aprano le applicazioni, quindi un attacco si baserebbe in una certa misura sull’ingegneria sociale, rendendo il rischio meno grave. Tuttavia, data la relativa mancanza di minacce di malware per macOS rispetto a Windows e Linux, gli utenti potrebbero essere più cavillosi nell’eseguire applicazioni non affidabili.
Entrambi i bug sono stati segnalati ad Apple l’anno scorso e da allora sono stati corretti.
Wardle afferma che le due vulnerabilità mostrano come il macOS possa potenzialmente essere oggetto di attacchi malware non come risultato di bug nel codice, ma piuttosto di falle nel modo in cui la logica del macOS si è evoluta nel corso dei decenni.
“MacOS ha ancora protezioni piuttosto superficiali“, ha detto Wardle. “Entrambi i casi non sono stati scoperti con un complesso fuzzing; le falle sono state trovate inavvertitamente“.
Per proteggersi da questi tipi di malware macOS basati su script, Wardle ha offerto un semplice consiglio: Gli utenti dovrebbero bloccare qualsiasi download di codice non autenticato. Il servizio notarile di Apple, che consiste in una scansione automatica di elementi dannosi e problemi di firma del codice, consente agli sviluppatori di ottenere una sorta di timbro di approvazione del software da parte di Apple.
Inoltre, Wardle ha esortato gli utenti di macOS ad attivare gli aggiornamenti automatici per il sistema operativo e a distribuire un prodotto di rilevamento e risposta degli endpoint incentrato su Mac.
