Alfonso Maruccia

macOS, uno screenshot per violare la privacy

I ricercatori individuano l'ennesimo meccanismo insicuro nel sistema Apple, e questa volta si tratta di una API standard usata per catturare immagini "dal vivo" sullo schermo. Cupertino non risponde, il baco finisce on-line

Roma - Il ricercatore di Fastlane Tools Felix Krause ha trovato il modo di sfruttare una API standard di macOS per mettere potenzialmente a rischio la privacy e i dati degli utenti, un metodo teoricamente sfruttabile da una qualsiasi applicazione e in maniera del tutto trasparente rispetto agli utenti di cui sopra.

L'origine del problema è CGWindowListCreateImage, API che serve appunto per catturare "un'immagine composita basata su una lista di finestre generata dinamicamente." In pratica, la API è spesso usata dal software Mac per catturare immagini del desktop o anche per effettuare lo streaming dal vivo del sistema.

Krause ipotizza quindi l'uso della API incriminata da un'applicazione malevola, così da catturare segretamente screenshot dello schermo senza il permesso dell'utente e poi usare una libreria di riconoscimento OCR per ricostruire il testo eventualmente presente nell'immagine.
macOS, uno screenshot per violare la privacy

Il ricercatore sostiene che in questo modo è teoricamente possibile leggere password e chiavi da un manager di password, scoprire informazioni sensibili da codice sorgente, chiavi API e altro, leggere messaggi ed e-mail riservati, identificare dettagli a dir poco delicati sulla vita e le abitudini dell'utente "bersaglio".

Krause aveva avvertito Apple del problema già a novembre, ma a Cupertino hanno deciso di ignorare le comunicazioni del ricercatore che ha quindi deciso di rendere pubblica l'esistenza della falla. Risolvere il problema non è complicato, suggerisce Krause, visto che basterebbe richiedere il permesso dell'utente per la cattura dello schermo o anche visualizzare una notifica all'atto della cattura. Krause è poi lo stesso ricercatore che qualche mese fa aveva individuato una falla nell'uso delle informazioni di geolocalizzazione su iOS.

Alfonso Maruccia
fonte immagine
Notizie collegate
  • SicurezzaiOS, app spia dai metadata delle fotoUno sviluppatore ha realizzato un proof-of-concept per dimostrare come le app possano approfittare delle autorizzazioni di iOS e accedere indisturbate alle informazioni di geolocalizzazione. Un Poc alquanto controverso, reso disponibile anche come app sullo Store ufficiale Apple
  • AttualitàMaMi, malware work in progress per MacScovata la prima minaccia del 2018 per gli utenti della Mela, un malware che al momento si "limita" a compromettere le impostazioni DNS ma che in futuro potrebbe evolversi in maniera significativa
  • AttualitàApple, addio ai 32-bit anche su macOSLa nuova beta di High Sierra prepara il terreno alla prossima "rivoluzione" di Cupertino, vale a dire l'abbandono totale del supporto ai programmi a 32-bit sugli OS futuri. La strada è già stata tracciata da iOS
75 Commenti alla Notizia macOS, uno screenshot per violare la privacy
Ordina
  • - Scritto da: sxs
    > http://www.huffingtonpost.it/2018/02/16/la-nuova-s

    Ma quanto e' liscia!
    Ma quanto e' stondata!
    Ma quanto e' trasparente!
  • Ciao
    Sono riuscito ad ottenere tra dem denise bergeon e soprattutto il credito, le condizioni sono buone così
    che la modalità del rimborso. È davvero il vero tasso di interesse è 03%. Se anche voi
    bisogno di un credito, per
    contatto lei qui è il suo indirizzo email: denisebergeon@gmail.com
    non+autenticato
  • Hanno ranzato decine di post, comunque se ti interessasse ti avevo risposto, incollo di seguito



    - Scritto da: Albedo non loggato
    >
    > Quindi quando si parla di PC non importa più
    > dell'hardware, piuttosto quanto il software
    > riesce a "integrarsi nell'ecosistema
    > proprietario"?

    Quando si parla di PC contano sia l'hardware che il software.

    Dopodiché bubba mi scrive che i mac alla fine sono identici a tutti gli altri pc.. A questo ho risposto facendo notare che già dal punto di vista hw ci sono delle differenze legate ad esempio all'uso di SoC ARM dedicati. Dal punto di vista software poi c'è un'integrazione che non ha paragoni.


    > https://en.wikichip.org/wiki/microsoft/scorpio_eng

    questo non ti fa onore Albedo.

    Mi paragoni una CPU sviluppata da MS in collaborazione con AMD, ai SoC che Apple progetta in autonomia grazie alle competenze acquisite con P.A. Semi

    https://en.wikipedia.org/wiki/P.A._Semi

    Mi paragoni una compagnia software-centrica come MS ad un'azienda hardware-centrica come Apple, perchè ti devi squalificare così?

    È davvero un problema accettare che ad oggi non esista un'azienda che abbia al contempo tutte le competenze che ha Apple?


    > Traballante eppure riesce a scalare
    > dall'embedded, al desktop, fino ai server,

    Eh sì, ma traballante rimane.
    Parla con qualunque sistemista e confronta ad esempio gli uptime medi dei server linux e quelli dei server windows.

    > supportando una valanga di combinazioni hw.

    Quello casomai è linux, windows non supporta una bella mazza.
    Ma essendo standard de facto, chiunque faccia ferro sviluppa i driver per windows.

    >
    > Al contrario di OSX, sviluppato da chi progetta
    > tutto in casa, dall'hardware al
    > software.
    >
    > Curioso, eh?Occhiolino

    No, affatto.
    Non penserai mica che sia un limite tecnico?

    Semplicemente quei mercati non fanno parte del business di Apple
  • - Scritto da: bertuccia
    > Hanno ranzato decine di post, comunque se ti
    > interessasse ti avevo risposto, incollo di
    > seguito
    >
    >
    >
    > - Scritto da: Albedo non loggato
    > >
    > > Quindi quando si parla di PC non importa più
    > > dell'hardware, piuttosto quanto il software
    > > riesce a "integrarsi nell'ecosistema
    > > proprietario"?
    >
    > Quando si parla di PC contano sia l'hardware che
    > il
    > software.
    >
    > Dopodiché bubba mi scrive che i mac alla fine
    > sono identici a tutti gli altri pc.. A questo ho
    > risposto facendo notare che già dal punto di
    > vista hw ci sono delle differenze legate ad
    > esempio all'uso di SoC ARM dedicati.
    che e' ben poca cosa... tra l'altro quello che "non e' pc come gli altri" spesso e' una roba di lock-in fastidioso, declinato come ' pay think different'...

    > Dal punto di vista software poi c'è un'integrazione che non ha
    > paragoni.
    si... e da un lato ribadisce l'ovvio (2 macchine in croce) e dall'altro i suoi limiti (2 scelte hw in croce, e (chiamiamolo gentilmente cosi) intinerario forzato per sw,gestione,[tecno]controllo ecc. Non e' inevadibile, certo.. ma le sponde del box sono alte). Oltre anche i vantaggi chiaramente.

    >
    > >
    > https://en.wikichip.org/wiki/microsoft/scorpio_eng
    >
    > questo non ti fa onore Albedo.
    >
    > Mi paragoni una CPU sviluppata da MS in
    > collaborazione con AMD, ai SoC che Apple progetta
    > in autonomia grazie alle competenze acquisite con
    > P.A.
    > Semi
    >
    > https://en.wikipedia.org/wiki/P.A._Semi
    ... ma son scelte di portafoglio e di visione (=devi essere unico-fescion) dai.
    fai un chip custom progettandolo assieme ad amd e in una fab tmsc.(quindi 'compri' queste competenze temporaneamente, diciamo)
    E compri un azienda (che tra l'altro fa altro,ora ) perche' il founder e' quello di strongarm (che anche li.. procio ex-DEC, poi preso da intel... che ha ?ironicamente? fatto le fortune di tutte gli handheld di M$..cioe col sw microsoft.. senza che issa si comprasse la Strong o Xscale )
    Compri sempre competenze, alla fine...

    > Mi paragoni una compagnia software-centrica come
    > MS ad un'azienda hardware-centrica come Apple,
    > perchè ti devi squalificare
    > così?
    nell insieme si sono poco paragonabili in effetti... anche se anche M$ appunto ha pero' fatto hw/sw piu o meno in-house (appunto customizzazioni di core esistenti ,acquisizione e integrazione ecc. Non e' che far tutto custom-inhouse-lockedin sia la scelta premiante by design eh)

    > È davvero un problema accettare che ad oggi
    > non esista un'azienda che abbia al contempo tutte
    > le competenze che ha
    > Apple?
    puo' diventarlo... dipende come/quanto viene esagerata questa cosaSorride

    >
    >
    > > Traballante eppure riesce a scalare
    > > dall'embedded, al desktop, fino ai server,
    >
    > Eh sì, ma traballante rimane.
    > Parla con qualunque sistemista e confronta ad
    > esempio gli uptime medi dei server linux e quelli
    > dei server
    > windows.
    >
    > > supportando una valanga di combinazioni hw.
    >
    > Quello casomai è linux, windows non supporta una
    > bella
    > mazza.
    > Ma essendo standard de facto, chiunque faccia
    > ferro sviluppa i driver per
    > windows.
    concordoCon la lingua fuori M$ fa pochino (meglio di un tempo pero'.. almeno con win7... magari col 10 e' regredita ahah) certo osx probabilmente e' anni luce indietro il parco M$.. ma tanto a loro non importa.
    non+autenticato
  • Approfitto di questo articolo che parla delle sfighe di apple per riportare a tutti i macachi del forum il seguente messaggio di saluti dall'india:

    ఞటఠ ఞఓఔక ఞ

    che in lingua telogu significa: "Suka makako ke ti si krasha l'ikoso!"

    (Forse PI ne parlera' in un articolo)
  • - Scritto da: panda rossa
    >
    > Approfitto di questo articolo che parla delle
    > sfighe di apple per riportare a tutti i macachi
    > del forum il seguente messaggio di saluti
    > dall'india

    che bella l'india, chissà che foto!

    tieni, metti pure su questa chiavetta Indiavolato

    http://punto-informatico.it/4424365/PI/News/linux-...
  • - Scritto da: bertuccia
    > - Scritto da: panda rossa
    > >
    > > Approfitto di questo articolo che parla delle
    > > sfighe di apple per riportare a tutti i
    > macachi
    > > del forum il seguente messaggio di saluti
    > > dall'india
    >
    > che bella l'india, chissà che foto!
    >
    > tieni, metti pure su questa chiavetta Indiavolato
    >
    > http://punto-informatico.it/4424365/PI/News/linux-
    Cioè ?
    1) casomai se lo vuoi chiamare bug (già patchato) casomai è un bug del DE ovvero (nel caso KDE).
    2) il bug di Apple di cui a questo articolo è tuttora unpatched.
    3) il "bug" era conosciuto da tempo io lo ho addirittura usato per mettere in esecuzione delle opzioni al montaggio della chiavetta.
    4) l'automount persino in kde è "auto" solo se lo setti come tale di default non c'è niente di "auto"
    Pensa piuttosto al tuo screen capture che mi pare tu abbia accuratamente tentato di non citare in nessun tuo post e che rimane (non te ne fossi accorto) il Topic dell'articolo.
    non+autenticato
  • - Scritto da: Todo bien Madama la marchesa
    >
    > Cioè ?

    panda ha un travone nell'oculo e va in giro a criticare pagliuzze altrui

    > Pensa piuttosto al tuo screen capture che mi pare
    > tu abbia accuratamente tentato di non citare in
    > nessun tuo post

    Invece l'avevo fatto in una delle risposte a un tuo messaggio che hanno segato. Avevo scritto che l'autore ha fatto benissimo a pubblicare la scoperta e che Apple dovrebbe quantomeno notificare visivamente l'utente quando quella API (che tu chiami bug, ma va bè, non mi aspetto chissà quale cultura da te) viene chiamata.
  • E gira e rigira siamo passati dal "c'è un bug sul Mac e Apple se ne fotte " al "Google ha 42000 mac" e "Guara che baco ha linux".

    Complimenti.

    Poi lamentati ehOcchiolino
    non+autenticato
  • - Scritto da: bertuccia
    > -
    Il bug non è la API ma il suo funzionamento "silente" e senza richiesta di permesso.
    Quanto alla cultura è meglio che lasci perdere (e sono assai magnanimo)
    Uno che non distingue un DE da un OS farebbe bene a tacere
    non+autenticato
  • - Scritto da: panda rossa
    > Approfitto di questo articolo che parla delle
    > sfighe di apple per riportare a tutti i macachi
    > del forum il seguente messaggio di saluti
    > dall'india:
    >
    > ఞటఠ
    > ఞఓఔక
    > ఞ
    >
    > che in lingua telogu significa: "Suka makako ke
    > ti si krasha
    > l'ikoso!"
    >
    > (Forse PI ne parlera' in un articolo)

    Mentalmente hai 12 anni ?
  • - Scritto da: panda rossa
    > Approfitto di questo articolo che parla delle
    > sfighe di apple per riportare a tutti i macachi
    > del forum il seguente messaggio di saluti
    > dall'india:
    >
    > ఞటఠ
    > ఞఓఔక
    > ఞ
    >
    > che in lingua telogu significa: "Suka makako ke
    > ti si krasha
    > l'ikoso!"
    >
    > (Forse PI ne parlera' in un articolo)

    Ma quanto rosiki, open-sorcio. Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Hanno la stessa anima perfetta,chi critica queste aziende non conosce L estetica dell informatica
    non+autenticato
  • Parlo di estetica a livello hardware e software; (ok la wii u toppa)
    ma sono due aziende molto simili come concezione; partiamo che il prodotto perfetto non esiste ne' esisterà mai;
    ma volete mettere la sicurezza e l'estetica di apple?
    volete mettere la bellezza dei titoli nintendo?
    tutto ciò costa, ma "pagare e sorridere"
    poi,se volete ogni volta tirare in ballo "eeeeh(alla vasco maniera) ma linux è open è free è questo ..e quello"
    non capite che come ogni cosa,dietro ci sono persone,ma voi forse vivete di aria.
    non+autenticato
  • Finalmente uno che ragiona!
    Ma caro mio scappaSorpresara subentreranno i soliti panda rosso e company con le loro pippe da hipster alternativi sull open source Linux e cavolaie simili FUGGI SCIOCCO! 😂
    P.s. Nintendo si è ripresa alla grande,bellissima consoleOcchiolino
    non+autenticato
  • - Scritto da: Temer23
    > Finalmente uno che ragiona!
    > Ma caro mio scappaSorpresara subentreranno i soliti
    > panda rosso e company con le loro pippe da
    > hipster alternativi sull open source Linux e
    > cavolaie simili FUGGI SCIOCCO!
    > 😂
    > P.s. Nintendo si è ripresa alla grande,bellissima
    > console
    >Occhiolino
    allora tremerai nel sapere che ora nella switch jailbreakata ci gira DebianCon la lingua fuori
    non+autenticato
  • Debian?ebbè? Cosa cambia? NULLA
    Anzi Successone triplo! Venderà un botto (ma non funzioneranno i multi player )
    Nintendo è il top come apple
    non+autenticato
  • - Scritto da: Djdjdre
    > Debian?ebbè? Cosa cambia? NULLA
    < subentreranno i soliti
    > panda rosso e company con le loro pippe da
    > hipster alternativi sull open source Linux e
    > cavolaie simili FUGGI SCIOCCO >
    che le 'pippe da hipster' ora ci sono anche sulla switch...Sorride linux owna il mondo...
    non+autenticato
  • - Scritto da: arkeark
    > Parlo di estetica a livello hardware e software;
    > (ok la wii u
    > toppa)
    > ma sono due aziende molto simili come concezione;
    > partiamo che il prodotto perfetto non esiste ne'
    > esisterà mai;
    >
    > ma volete mettere la sicurezza e l'estetica di
    > apple?
    > volete mettere la bellezza dei titoli nintendo?
    > tutto ciò costa, ma "pagare e sorridere"
    > poi,se volete ogni volta tirare in ballo
    > "eeeeh(alla vasco maniera) ma linux è open è free
    > è questo ..e
    > quello"
    > non capite che come ogni cosa,dietro ci sono
    > persone,ma voi forse vivete di
    > aria.

    Noi su Punto ifoiati non viviamo di aria, ma bensì CAMPIAMO di ARIA!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)