Un noto ricercatore esperto in materia di sicurezza, Patrick Wardle ha scoperto una nuova vulnerabilità in macOS Mojave, la versione più aggiornata del sistema operativo Apple. Essa consente ad applicazioni legacy considerate sicure di caricare ed eseguire codice non verificato e potenzialmente pericoloso.
Si tratta della seconda lacuna di sicurezza scoperta a distanza di pochi giorni (l’ultima segnalazione è quella dell’italiano Filippo Cavallarin: Apple Gatekeeper può essere sconfitto: macOS diventa controllabile da remoto) e anche in questo caso sfruttare il bug sembra davvero molto semplice.
Wardle spiega i dettagli tecnici che permettono di modificare un’applicazione considerata da macOS Mojave come affidabile a priori e inserirvi routine arbitrarie per la simulazione di clic e azioni di ogni genere da parte degli utenti.
Si chiamo synthetic click quegli eventi che gli sviluppatori software possono eventualmente sfruttare nelle rispettive applicazioni per automatizzare delle operazioni e ridurre il numero di clic da parte degli utenti. Wardle aveva già dimostrato, in passato, come potesse essere possibile abusare di questa funzionalità ed Apple era intervenuta per risolvere la problematica.
Lo schema attuale, usato anche in Mojave, evita che gli aggressori possano usare il meccanismo dei synthetic click per accedere ai componenti “cruciali” del sistema operativo: microfono, servizi di geolocalizzazione, fotocamera, messaggistica, script, finestra del terminale, impostazioni di sistema e kernel.
Wardle ha però appena dimostrato che le contromisure poste in essere da Apple possono essere facilmente superate ed è possibile modificare il comportamento di un’app considerata sicura da macOS.
Il sistema operativo della società di cupertino usa un file chiamato 'AllowApplications.plist
che contiene le regole per accordare l’accesso alle varie funzioni di sistema per un insieme di app specifiche, dotate di firme digitali ben precise.
Il ricercatore si è accorto che macOS si limita a controllare la firma digitale mentre non effettua alcuna verifica sulle risorse che vengono caricate e sul codice eseguito.
Usando una versione del noto riproduttore multimediale VLC, pre-approvata da Apple, Wardle è riuscito ad assumere pieno controllo sull’intero sistema macOS. Aggiungendo un plugin capace di simulare clic e compiere azioni arbitrarie, l’esperto è riuscito ad avviare operazioni in grado di compromettere i dati conservati sulla macchina.