Un gruppo di ricercatori ha scoperto un ingegnoso meccanismo che viene utilizzato per spiare gli utenti di macOS.
Gli autori del malware XCSSET sono riusciti a sviluppare un sistema che permette di legare codice arbitrario alle applicazioni installate ed eseguite dagli utenti sui loro Mac.
In informatica il termine hooking viene utilizzato per riferirsi alle tecniche usate per modificare il comportamento del sistema operativo, delle applicazioni o di altri componenti software intercettando chiamate a funzioni, messaggi o eventi.
Supponiamo che l’utente installi un’app per le videoconferenze come Zoom. Il meccanismo di protezione integrato in macOS e chiamato Transparency Consent and Control (TCC) mostra un avviso per informare l’utente su quali permessi sta richiedendo l’applicazione per funzionare. Il messaggio compare non appena una qualunque applicazione provi a usare privilegi che hanno impatto sulla privacy dell’utente (ad esempio nel caso dell’attivazione della videocamera e del microfono).
I malware-writer autori di XCSSET hanno utilizzato il meccanismo dell’hooking per legare il loro codice al funzionamento di applicazioni per macOS già autorizzate dall’utente: in questo modo diventa possibile per un processo malevolo usare la videocamera, il microfono ma anche accedere al file system sottraendo i file personali dell’utente senza ingenerare la comparsa di alcun avviso.
Confermando l’esistenza del grave problema di sicurezza, Apple ha rilasciato macOS Big Sur 11.4 invitando gli utenti ad applicare l’aggiornamento prima possibile.
Ovviamente il problema interessa solo gli utenti che in qualche modo hanno scaricato il malware sui loro sistemi macOS dal momento che l’attacco non può essere sfruttato in modalità remota.
Durante un’udienza nell’ambito della vertenza legale che vede Apple scontrarsi con Epic, Craig Federighi, vice presidente Apple software engineering, ha ammesso: “oggi abbiamo un livello di malware sui Mac che non troviamo accettabile“.
Sebbene non ancora molto diffuso XCSSET rappresenta una chiara dimostrazione di quanto i sistemi macOS siano da tempo entrati nel mirino dei criminali informatici.
XCSSET integra infatti molteplici abilità: alcune sono pensate per spiare le attività degli utenti, alcune sono orientate al furto dei dati personali, altre ancora prevedono un comportamento da ransomware. Un set di caratteristiche, insomma, che appare costruito per sferrare attacchi mirati e colpire specifici obiettivi, non soltanto i sistemi x86 ma anche i più recenti Mac basati su chip di derivazione ARM (Apple M1).