Luca Annunziata

Yosemite, molto rumore per nulla?

Tra annunci di bug reali e proclami di presunte vulnerabilità inesistenti, è tutto un fiorire di chiacchiere sull'ultima release del sistema operativo Apple per Mac. Ma non è tutto baco quello che fa notizia

Roma - La progressiva diffusione dei PC Apple tra i consumatori, e l'accresciuta allerta nei confronti dei possibili canali di accesso alle informazioni personali dopo lo scoppio dello scandalo Datagate, non manca di sottoporre i sistemi Apple a un più attento scrutinio da parte degli esperti di sicurezza. Una buona notizia per tutti, visto che solo le vulnerabilità note possono essere risolte, ma che a volte può trascendere la realtà: se la notizia pare succulenta, i media o gli stessi esperti ci si lanciano a capofitto senza valutare la reale portata di quanto da loro osservato.

Capita così che per una effettiva, se pur non ancora documentata, vulnerabilità di Yosemite (OS X 10.10) che è stata comunicata a Apple e verrà risolta entro gennaio, ci sia anche un incredibile polverone sollevato su un caratteristica del sistema operativo già esistente da molto tempo e che scoperta solo ora scatena il panico. Nel primo caso l'autore della scoperta è l'hacker Emil Kvarnhammar di TrueSec, azienda svedese, che ha illustrato quanto da lui scoperto su Yosemite senza addentrarsi nei dettagli: le informazioni su come sfruttare quello che definice un baco "rootpipe" sono state fornite esclusivamente a Apple, affinché potesse mettere mano al codice e produrre una patch, e solo in seguito saranno illustrate al pubblico.


Secondo il racconto di Kvarnhammar, dal suo desiderio di mostrare al pubblico di una convention sulla security qualcosa sui Mac è scaturita una ricerca di vulnerabilità più o meno note del sistema che non ha avuto particolare successo. In circolazione non c'era molto, dice l'hacker, e quindi è sorta ovvia la necessità di trovare qualcosa da raccontare al simposio: Kvarnhammar non scende nei dettagli, ma racconta che in un paio di giorni di lavoro è riuscito a scovare un metodo per ottenere un accesso root al sistema attraverso una console scavalcando eventuali richieste di autorizzazione per ottenere i privilegi da superutente. Le informazioni utili a riprodurre la vulnerabilità, che con piccole variazioni sul tema sarebbe replicabile anche sulle versioni precedenti del sistema operativo, sono state subito inviate in via confidenziale a Apple che ha promesso una patch senza però fissare ancora una scadenza precisa: fino ad allora, per minimizzare i rischi la cosa migliore da fare sarebbe impostare il proprio Mac per utilizzare un account privo dei privilegi di amministratore nella vita di tutti i giorni (a differenza di quanto di solito accade lasciando intatta la configurazione di default di OS X che prevede un singolo utente, con privilegi da amministratore appunto).


Discorso molto diverso riguarda il panico scaturito dalle dichiarazioni dell'altro hacker Jeffrey Paul, riguardanti una presunta seria cattiva gestione da parte di Yosemite dello storage dei dati: file che dovrebbero stare per scelta sul disco locale, soprattutto perché contenenti informazioni personali sensibili, finirebbero invece su iCloud a causa delle nuove funzionalità Continuity introdotte con OS X 10.10 e iOS 8 per consentire di proseguire il lavoro sui diversi dispositivi dell'ecosistema Apple senza soluzione di continuità. La notizia ha fatto rapidamente il giro del Web, probabilmente soprattutto a causa del clamore suscitato poche settimane fa dalla fuga di dati che ha reso pubbliche centinaia di foto private di star del cinema che pare fossero stivate nello storage remoto iCloud di Apple.

In realtà la questione è più complicata di quanto Paul abbia descritto: l'hacker ha spiegato che adopera (o adoperava) l'applicazione integrata nel sistema per scrivere piccoli documenti, Textedit (l'equivalente del Blocco Note su Windows), per prendere appunti e tenere a portata di mano informazioni personali senza salvarle in un documento. Da qualche release di OS X a questa parte le applicazioni possono salvare automaticamente i file per mostrarli di nuovo in caso di crash o riavvio del sistema: Paul approfittava proprio di questa capacità per tenere a portata di mano le proprie informazioni, di fatto impiegandola per uno scopo diverso da quello per cui era stata progettata. Le novità di Yosemite avrebbero solo amplificato un effetto presente già da prima: la mancanza di un meccanismo di opt-in, ovvero l'attivazione di queste funzioni solo se richiesto dall'utente, è un peccato veniale più che un bug, trattandosi tra l'altro di capacità già documentate pubblicamente.

Le prime critiche all'operato di Apple, piuttosto aspre, si sono ammorbidite nelle ore successive quando i contorni della vicenda sono andati via via chiarendosi. È evidente che il paradigma del cloud computing imponga agli utilizzatori di device sempre più connessi una maggiore consapevolezza di quanto accade alle informazioni che transitano nei loro sistemi: per altro ci sono circostanze in cui una sincronizzazione pervasiva può anche risultare positiva per l'utente finale.

Luca Annunziata
Notizie collegate
  • AttualitàAssalto cinese a iCloudPechino al lavoro per compromettere gli account degli utenti Apple. Le autorità negano ma gli esperti confermano: un attacco è in corso, serve a scavalcare la cifratura dei nuovi iPhone
  • SicurezzaApple protegge i backup iCloudCupertino estende la doppia protezione per gli account della sua nuvola. Così da impedire che un'altra fuga di foto possa capitare di nuovo. Preservando anche la reputazione di Apple Pay
  • AttualitàTim Cook ci tiene alla privacy di AppleIl CEO pubblica una lettera aperta, in perfetto stile Steve Jobs. E, senza mai nominare nessuno, attacca i suoi concorrenti che non farebbero abbastanza per proteggere i propri clienti
14 Commenti alla Notizia Yosemite, molto rumore per nulla?
Ordina
  • Uouououo... calma, calma! Deluso

    Ma non s'era detto che il Mac era sicuro? Arrabbiato

    Ma non s'era detto che alla Apple ci tengono alla sicurezza e tranquillità degli utenti?Angioletto

    E allora come mai è stato MITRAGLIATO? Rotola dal ridere

    Accidenti, è davvero strano! Annoiato
    non+autenticato
  • Dopo anni di lavoro deve aver scoperto questo ...
    http://en.m.wikipedia.org/wiki/Setuid
    non+autenticato
  • "peccato veniale" un accidente.... e' una politica precisa, attuata in modo +- trasversale, da tutti i dragadati ( M$, apple, google ecc).
    Solo la roba open (gnu-linux/bsd ) si salva (anche se l'inquinamento si inizia a vedere anche li'... )
    non+autenticato
  • - Scritto da: bubba

    > (anche se l'inquinamento si inizia a vedere anche
    > li'...

    systemd? Newbie, inesperto
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: bubba
    >
    > > (anche se l'inquinamento si inizia a vedere
    > anche
    > > li'...
    >
    > systemd? Newbie, inesperto
    gh. quella e' una storia diversa (windozification. certo la colpa e' anche di canonical... ma rhat/freedesktop sono peggio).

    Mi riferivo a cose come Amazon Lens nell'unity di ubuntu ... o perfino -certo presenti per motivi piu' nobili- i vari phone-home di firefox verso google & altro...
    non+autenticato
  • - Scritto da: diana
    > il melabrodo colpisce ancora
    > http://www.bbc.com/news/technology-29928751
    >
    > hippie yeah

    Do not download Mac apps from third-party stores

    Impossible senza jailbreak (che chi fa, si spera, sa a quali rischi si espone).

    Do not connect their iOS devices to untrusted computers and accessories, either to copy information or charge the machines

    Impossible da fare senza un installazione di itunes e la validazione dell'account.
    Solo tramite jailbreak è possible fare ste cose o tecniche di trasporto delle chiavi tra computer (che comunque, mi sembra, con l'ultima versione di itunes sia stata eliminata).

    Do not accept requests for a new "enterprise provisioning profile" - used to allow businesses to install their own software onto employees' smartphones - unless it comes from an authorised party, for example the employer's IT department

    Un dipendente con una periferica iOS con account enterprise è impossibilitato a installare niente che non provenga dal circuito enterprise a cui l'account è legato nor ad Apple store (e anche qui il circuito enterprise potrebbe negare l'accesso ad app store stesso).
    A meno che non venga fatto il jailbreak della periferica.

    Quindi, siamo alle solite eh.
    -----------------------------------------------------------
    Modificato dall' autore il 06 novembre 2014 12.24
    -----------------------------------------------------------
    maxsix
    10357
  • - Scritto da: maxsix

    > Do not download Mac apps from third-party stores

    che è quello che accade nel 90% dei casi d'infezione su Android

    ma valgono due pesi e due misure ovviamente

    > A meno che non venga fatto il jailbreak della
    > periferica.

    nei tuoi sogni forse "even non-jailbroken iOS devices"

    http://www.net-security.org/malware_news.php?id=29...

    macaco pwned Rotola dal ridere
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: maxsix
    >
    > > Do not download Mac apps from third-party stores
    >
    > che è quello che accade nel 90% dei casi
    > d'infezione su
    > Android
    >
    > ma valgono due pesi e due misure ovviamente
    >
    > > A meno che non venga fatto il jailbreak della
    > > periferica.
    >
    > nei tuoi sogni forse "even non-jailbroken iOS
    > devices"
    >
    > http://www.net-security.org/malware_news.php?id=29
    >
    Tu gli articoli li DEVI leggere prima di parlare con me, altrimenti fai solo che figuracce.

    E ti metto in bold le cose che dovresti aver letto prima di scrivere scemenze.

    Cito:
    The first instance of the malware - dubbed WireLurker by the researchers - was spotted by a developer at Chinese company Tencent on June 1. In the days that followed, other users have taken to online forums to share their discovery of "the installation of strange applications and the creation of enterprise provisioning profiles on their non-jailbroken iPhones and iPads."

    "They also mentioned launch daemons found on their Mac computers, with names like 'machook_damon' and 'WatchProc'. Some of these same users stated that they recently downloaded and installed applications from the Maiyadi App Store, a third party OS X and iOS application store in China," the researchers noted.

    Their investigation later revealed that almost all Mac apps uploaded to that particular online store from April 30, 2014, to June 11, 2014, were repackaged with WireLurker. 467 apps were trojanized, and were downloaded a total of 356,104 times.


    > macaco pwned Rotola dal ridere

    Cocco, ne hai da imparare dai macachi.
    Ma tanta anche.
    maxsix
    10357
  • - Scritto da: maxsix
    > - Scritto da: collione
    > > - Scritto da: maxsix
    > >
    > > > Do not download Mac apps from third-party
    > stores
    > >
    > > che è quello che accade nel 90% dei casi
    > > d'infezione su
    > > Android
    > >
    > > ma valgono due pesi e due misure ovviamente
    > >
    > > > A meno che non venga fatto il jailbreak della
    > > > periferica.
    > >
    > > nei tuoi sogni forse "even non-jailbroken iOS
    > > devices"
    > >
    > >
    > http://www.net-security.org/malware_news.php?id=29
    > >
    > Tu gli articoli li DEVI leggere prima di parlare
    > con me, altrimenti fai solo che
    > figuracce.
    >
    > E ti metto in bold le cose che dovresti aver
    > letto prima di scrivere
    > scemenze.
    >
    > Cito:
    > The first instance of the malware - dubbed
    > WireLurker by the researchers - was spotted by a
    > developer at Chinese company Tencent on June 1.
    > In the days that followed, other users have taken
    > to online forums to share their discovery of "the
    > installation of strange applications and the
    > creation of enterprise provisioning profiles
    > on their non-jailbroken iPhones and
    > iPads
    ."
    >
    > "They also mentioned launch daemons found on
    > their Mac computers, with names like
    > 'machook_damon' and 'WatchProc'. Some of these
    > same users stated that they recently downloaded
    > and installed applications from the Maiyadi App
    > Store, a third party OS X and iOS application
    > store in China," the researchers
    > noted.

    >
    > Their investigation later revealed that almost
    > all Mac apps uploaded to that particular online
    > store from April 30, 2014, to June 11, 2014, were
    > repackaged with WireLurker. 467 apps were
    > trojanized, and were downloaded a total of
    > 356,104 times.
    >
    > > macaco pwned Rotola dal ridere
    >
    > Cocco, ne hai da imparare dai macachi.
    > Ma tanta anche.

    Nel frattempo fai girare questo:
    http://github.com/PaloAltoNetworks-BD/WireLurkerDe...
    Non si sa maiOcchiolino
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: maxsix
    > > - Scritto da: collione
    > > > - Scritto da: maxsix
    > > >
    > > > > Do not download Mac apps from third-party
    > > stores
    > > >
    > > > che è quello che accade nel 90% dei casi
    > > > d'infezione su
    > > > Android
    > > >
    > > > ma valgono due pesi e due misure ovviamente
    > > >
    > > > > A meno che non venga fatto il jailbreak
    > della
    > > > > periferica.
    > > >
    > > > nei tuoi sogni forse "even non-jailbroken iOS
    > > > devices"
    > > >
    > > >
    > >
    > http://www.net-security.org/malware_news.php?id=29
    > > >
    > > Tu gli articoli li DEVI leggere prima di parlare
    > > con me, altrimenti fai solo che
    > > figuracce.
    > >
    > > E ti metto in bold le cose che dovresti aver
    > > letto prima di scrivere
    > > scemenze.
    > >
    > > Cito:
    > > The first instance of the malware - dubbed
    > > WireLurker by the researchers - was spotted by a
    > > developer at Chinese company Tencent on June 1.
    > > In the days that followed, other users have
    > taken
    > > to online forums to share their discovery of
    > "the
    > > installation of strange applications and the
    > > creation of enterprise provisioning profiles
    > > on their non-jailbroken iPhones and
    > > iPads
    ."
    > >
    > > "They also mentioned launch daemons found on
    > > their Mac computers, with names like
    > > 'machook_damon' and 'WatchProc'. Some of
    > these
    > > same users stated that they recently downloaded
    > > and installed applications from the Maiyadi App
    > > Store, a third party OS X and iOS application
    > > store in China," the researchers
    > > noted.

    > >
    > > Their investigation later revealed that almost
    > > all Mac apps uploaded to that particular online
    > > store from April 30, 2014, to June 11, 2014,
    > were
    > > repackaged with WireLurker. 467 apps were
    > > trojanized, and were downloaded a total of
    > > 356,104 times.
    > >
    > > > macaco pwned Rotola dal ridere
    > >
    > > Cocco, ne hai da imparare dai macachi.
    > > Ma tanta anche.
    >
    > Nel frattempo fai girare questo:
    > http://github.com/PaloAltoNetworks-BD/WireLurkerDe
    > Non si sa maiOcchiolino

    Tranquillo il mio account enterprise è sotto il mio diretto controllo e non ho software scaricato da fonti di dubbia provenienza.

    Non ne ho bisogno.
    maxsix
    10357
  • - Scritto da: maxsix
    >
    > A meno che non venga fatto il jailbreak della
    > periferica.
    >
    > Quindi, siamo alle solite eh.

    Allora per l'iphone niente copia e incollaA bocca aperta

    http://www.melablog.it/post/7741/clippy-aggiunge-i...
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: maxsix
    > >
    > > A meno che non venga fatto il jailbreak della
    > > periferica.
    > >
    > > Quindi, siamo alle solite eh.
    >
    > Allora per l'iphone niente copia e incollaA bocca aperta
    >
    > http://www.melablog.it/post/7741/clippy-aggiunge-i

    maxsix
    10357