Il ricercatore Patrick Wardle ha mostrato alla conferenza DEF CON 2023 di Las Vegas come è possibile aggirare il meccanismo di protezione che rileva i malware in macOS. A causa delle vulnerabilità presenti nel tool Background Task Manager, introdotto con macOS Ventura, non vengono rilevati i software infetti. Nonostante il pericolo, l’azienda di Cupertino non ha ancora risolto il problema.
Background Task Manager non serve a nulla?
Il tool Background Task Manager sviluppato da Apple rileva la persistenza dei malware, ovvero il loro funzionamento anche quando il computer viene spento o riavviato. Quando si verifica un “evento persistenza”, macOS invia una notifica all’utente e alle soluzioni di sicurezza di terze parti installate sul computer. È possibile quindi avviare un’indagine, se il software sospetto non è stato intenzionalmente scaricato.
Patrick Wardle ha scoperto che questo meccanismo può essere facilmente aggirato da malware più sofisticati. Il ricercatore aveva già segnalato le vulnerabilità, ma Apple ha apportato correttivi poco efficaci. Un malintenzionato potrebbe ottenere privilegi elevati (accesso root) e bloccare l’invio delle notifiche.
Il ricercatore ha scoperto altri due metodi che non richiedono l’accesso root. È sufficiente sfruttare un bug presente nella comunicazione tra il sistema e il kernel oppure la funzionalità che consente di mettere il processore nello stato sleep. In entrambi i casi, le notifiche possono essere bloccate e il tool Background Task Manager non rileva nessun malware.
Wardle ha illustrato la sua ricerca al DEF CON senza avvisare Apple, in quanto l’azienda di Cupertino aveva già ricevuto la segnalazione. L’attuale implementazione di Background Task Manager non garantisce una protezione adeguata. Anzi potrebbe dare agli utenti un falso senso di sicurezza.
Ti potrebbe interessare
14 ago 2023