Alfonso Maruccia

MacOS High Sierra, appena nato già colabrodo?

Un noto ricercatore, ex hacker della NSA, ha identificato un altro bug di sicurezza nel codice del nuovo sistema operativo di Cupertino. Una falla zero-day in Accesso Portachiavi di cui Apple è stata messa a conoscenza

MacOS High Sierra, appena nato già colabrodo?Roma - MacOS, l'altra metà del cielo informatico che fa capo al business di Apple, viene spesso presentato come un sistema operativo più sicuro rispetto alla media (cioè Windows). Patrick Wardle però, esperto di sicurezza proprio dell'OS di Cupertino, non sembra essere d'accordo con tale affermazione, presentando come dimostrazione una nuova, grave vulnerabilità di sicurezza.

La falla identificata da Wardle è di tipo zero-day, un problema per cui al momento non esistono patch e che risulta presente anche all'interno del codice di High Sierra, la nuova versione di macOS 10.13 rilasciata da Apple a poche ore di distanza dal video pubblicato dal ricercatore per dimostrare il funzionamento del bug.



Presente all'interno di un componente di macOS al momento ignoto, la falla permette a un malintenzionato di accedere e copiare il contenuto dell'applicazione Accesso Portachiavi del sistema - vale a dire le credenziali di accesso per siti Web, server FTP, account SSH, reti WiFi e via elencando. Il database di password è ovviamente criptato, ma grazie al baco è possibile visualizzare i dati in chiaro, a condizione che si abbia la possibilità di accedere localmente (fisicamente) al sistema bersaglio e non da remoto.
Il bug non si estende ad iOS, ma coinvolge tutte le versioni più recenti di macOS, High Sierra compreso, ha spiegato Wardle, e potrebbe rappresentare un'arma davvero molto potente a disposizione di malware o altro tipo di software pericoloso per rubare password e trasferirle ad un server remoto.

Il ricercatore dice di aver contattato "responsabilmente" Apple con tutti i dettagli sulla falla ed un exploit funzionante, prima di annunciare al mondo la sua esistenza, quindi Cupertino dovrebbe essere già al lavoro per la realizzazione di una patch correttiva da rilasciare in futuro.

Quello che Wardle non considera "responsabile" è invece il comportamento dell'azienda, impegnata con un marketing ossessivo a convincere il pubblico della sicurezza superiore del suo software rispetto alla concorrenza: "non voglio che qualcuno di Apple la prenda sul personale - ha detto - ma ogni volta che osservo macOS nel modo sbagliato qualcosa va male". Il problema in Accesso Portachiavi è infatti la seconda falla 0-day identificata dal ricercatore in macOS questo mese.

In una dichiarazione riportata da CNET, Apple ribadisce che "macOS è progettato per essere sicuro per impostazione predefinita, e Gatekeeper avvisa gli utenti di non installare applicazioni non firmate come quelle riportate in questo proof of concept, impedendo loro di lanciare l'applicazione senza esplicita approvazione. Incoraggiamo gli utenti a scaricare il software solo da fonti attendibili come il Mac App Store e di prestare attenzione agli avvisi di sicurezza mostrati da macOS".

Alfonso Maruccia
Notizie collegate
  • AttualitàmacOS 10.13 High Sierra, bypassata la sicurezza dello SKELLa funzione Secure Kernel Extension Loading, introdotta da Apple nell'OS desktop dall'uscita imminente, dovrebbe impedire l'esecuzione automatica di moduli kernel prodotti da terze parti. Un bug, però, permette di bypassarlo. I dettagli non sono noti, ma si auspica una patch prima del rilascio ufficiale
121 Commenti alla Notizia MacOS High Sierra, appena nato già colabrodo?
Ordina
  • Ho appena aggiornato ad High Sierra e già mi sto pentendo. È lento come un congresso del PD.
    non+autenticato
  • E' tutto marketing, dalla A alla Z.
    In questo forum nessuno sembra capirlo, visti anche gli infantili campanilismi di certi personaggi in cerca di autore...
    non+autenticato
  • Certi OS sono nati male, certi fatti ancora male, altri... che è una loro caratteristica intrinseca. Non ancora decollati. Per volontà o per possibilità. A bocca aperta
    non+autenticato
  • C'è un post interessante che tutti dovrebbero leggere [/.] https://goo.gl/uujRD2 e ve ne sono molti altri, uno che consiglio a cert'uni fanatici di snap/flatpack&c è questo http://kmkeen.com/maintainers-matter

    Per restare più in-topic un software sviluppato secondo il modello commerciale NON PUÒ esser considerato sicuro a prescindere, gli obiettivi di chi sviluppa sono:
    - rispettare una tabella di marcia
    - seguire gli ordini del marketing
    - seguire i vari PM del tutto incompetenti in genere a tema sviluppo
    - seguire in fondo alla catena le idee degli sviluppatori (normalmente del tutto incompetenti a tema operation)
    - fare tutto in casa dal design alla codifica al packaging ecc
    Questo non può praticamente produrre soluzioni "sicure" sotto praticamente ogni aspetto. Il modello FOSS *può* produrre soluzioni sicure se le community sono abbastanza vaste e han una buona organizzazione interna.

    Pensateci e pensate a come ci stiamo evolvendo perché il burrone è sempre più profondo e i lemming bipedi sempre più numerosi.
    non+autenticato
  • Ottimo materiale.

    Risaputo, ma ogni tanto repetita iuvant.
    iRoby
    9472
  • - Scritto da: iRoby
    > Ottimo materiale.
    >
    > Risaputo, ma ogni tanto repetita iuvant.

    Perle ai porci.

    Abbiamo a che fare con soggetti malati che si masturbano guardando gli utili di una trimestrale di una azienda di cui non sono ne' amministratori ne' tantomeno azionisti.
  • Tecno-Pervertiti?

    Quelli come Ruppolo che dicono di amare il proprio iPhone, perché non sono in grado di amare altri individui a causa di psicosi e distacco dalla realtà umana?

    O i narcisisti patologici come maxsix che ad ogni messaggio rimarca come sia onnipotente, onnisciente, onni-tutto?

    E poi se gli chiedi se percepisce un significato della sua esistenza o non sa risponderti e glissa deviando il discorso, o ti racconta qualche minchiata sulla società che così com'è a lui va bene, lui ci si è adattato, e se tu non ci riesci sei tu malato.
    iRoby
    9472
  • Vedete il problema non è quel che fa il "consumatore da gdo" il problema è poter esser altro. Un po' di anni fa era possibile, magari imprecavi contro qualche servizio pubblico tipo i crapware dell'Agenzia delle Entrate che pur essendo java/AWT eran fatti in modo da renderli assai duri da usare fuori da Windows (e non è che su Windows fossero semplici), magari capitava qualche imprecazione per un pezzo di ferro senza driver/malfatto in violazione di qualche standar ecc ma si poteva. Il centro del mondo era il desktop e questo era l'IBM PC x86, architettura con componenti proprietari ma pubblica, nota, supportata un po' da tutti.

    Oggi il centro è il mobile con gli iCosi e gli Androbloat, il desktop è sempre in servizio (non essendoci alternative) ma sempre più "tirato" verso il mobile, anche a livello di lucchetti hw, di design hw (dall'UEFI ai laptop con componenti incollati, clips di plastica ecc), il "desktop" come concetto è diventato il browser, mostro-framework proprietario diviso grossomodo tra tre vendor, magari anche con larghe fette di codice aperto ma per sup design inutile, non si è più proprietari del ferro (divieto esplicito di metterci le mani), né di larghe se non tutte le parti dell'OS (blob binari, software proprietario ecc) e manco dei propri dati rigorosamente "in cloud".

    Per me se al vicino di casa, al commerciale di turno o a qualcun'altro piace il cetriolo volante non è che mi interessi molto, se io son costretto a far da bersaglio insieme a questo qualcun'altro perché non c'è più altro che cetrioli volanti questo mi interessa eccome.
    non+autenticato
  • - Scritto da: iRoby
    > Quelli come Ruppolo che dicono di amare [...]

    Ruppolo se n'è andato da un'eternità e ancora continui a percepirlo.
    Te c'hai davvero gravi roblemi...
    non+autenticato
  • Siete voi a nominarne le prodezze. Io manco lo sapevo che una volta disse di amare il suo telefono.
    Un oggettofilo?
    iRoby
    9472
  • - Scritto da: ma LOL
    > - Scritto da: iRoby
    > > Quelli come Ruppolo che dicono di amare [...]
    >
    > Ruppolo se n'è andato da un'eternità e ancora
    > continui a
    > percepirlo.
    > Te c'hai davvero gravi roblemi...

    Ruppolo avrà lasciato questo blog, ma continua a dire le stesse amenità su altri. Ha lasciato qui, purtroppo, i suoi discepoli. Il "duo culispanati" maxsix e bertuccia.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: iRoby
    > > Ottimo materiale.
    > >
    > > Risaputo, ma ogni tanto repetita iuvant.
    >
    > Perle ai porci.
    >
    > Abbiamo a che fare con soggetti malati che si
    > masturbano guardando gli utili di una trimestrale
    > di una azienda di cui non sono ne' amministratori
    > ne' tantomeno
    > azionisti.

    I 9 anni di seghe con un fallo 0-day è un record tutto vostro.
    non+autenticato
  • purtroppo e' un tema su cui non si puo' discutere senza scatenare le solite trollate

    il problema del closed e':

    1. costi che devono rimanere bassi ( a costo di tagliare su tutto, dai tool di sviluppo alle competenze di architect e programmatori )
    2. deadline da rispettare, come se fossimo al mercato a vendere salame
    3. poca competenza in generale nelle realta' IT, da quando c'e' l'outsourcing in Cina, India, Singapore e' pure peggio

    e sul fatto che facciano tutto in casa, non credere che l'outsourcing potrebbe aiutare, perche' l'intera filiera e' opaca ( come vuole il modello closed ) e per la (1) si sceglie quasi sempre il peggio

    il vantaggio dell'open e' che pure le ca**te che fanno i programmatori sono in bella mostra, nel posto adatto per far piovere addosso all'incompetente di turno una valanga di critiche ed insulti ( Torvalds e il suo modo di trattare i contributor Linux dice nulla? )

    poi c'e' un ramo prettamente tecnologico che e' a parte e indipendente dal modello di sviluppo, ovvero ci ostiniamo ad usare tool fatti male ( es: Systemd in C?? non aveva niente di meglio a disposizione? )

    magari dara' fastidio il mantra dei fighetti del "written in Rust", ma c'e' un fondo di verita' in quell'affermazione, una lezione che tutti dovremmo imparare

    gli strumenti devono essere adeguati, altrimenti non c'e' accortenza o competenze che tengano
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)