La tecnologia GateKeeper integrata da Apple nei computer della linea Mac con l’obiettivo di garantire che il software eseguito sia sicuro è oggetto di una nuova tipologia di codice maligno chiamata OSX/Linker. Agisce facendo leva su una falla non ancora corretta dalla mela morsicata, bypassando il controllo e sfruttando una tecnica simile a quella dell’adware OSX/Surfbuyer individuato alla fine dello scorso anno così come di OSX/Shlayer avvistato a inizio 2018. Avviene includendo nel pacchetto scaricato un collegamento simbolico verso un applicativo salvato sotto forma di archivio su un server NFS controllato da terzi.
GateKeeper: OSX/Linker colpisce i Mac
Le conseguenze possono essere pesanti, con la possibile esecuzione di codice sulla macchina di chi ne è colpito. Sembrano esserne vulnerabili tutte le versioni del sistema operativo macOS in circolazione, anche la più recente 10.14.5. A scoprire il problema nel mese di maggio è stato il ricercatore italiano Filippo Cavallarin, esperto di sicurezza e CEO di Segment (gruppo Interlogica). Di seguito il filmato in cui viene simulato un attacco.
Joshua Long della software house Intego sostiene che in Rete già vi siano diversi malware sviluppati appositamente per colpire la falla e mettere in ginocchio le protezioni dei Mac. Alcuni di questi vengono distribuiti come falsi installer per il Flash Player di Adobe, a quanto pare un metodo ancora efficace per la diffusione di codice malevolo. Al momento non si segnalano in ogni caso report di attacchi messi a segno.
Apple dal canto suo ha comunicato di aver preso in carico le segnalazioni e di essere al lavoro per offrire agli utenti una soluzione, ma non è dato a sapere con quali tempistiche né se bisognerà attendere il rilascio di macOS 10.15 Catalina.
Introdotta nel 2012 su OS X 10.8 Mountain Lion, la tecnologia GateKeeper è stata presa di mira quasi fin da subito: ripeschiamo dal nostro archivio un articolo del 2015 con riferimento a un metodo in grado di bypassare il controllo, con potenziali conseguenze del tutto simili a quelle di cui si parla oggi per OSX/Linker.