macOS Gatekeeper “facilmente” ingannato dalle applicazioni malevoli in esecuzione

Un ricercatore di sicurezza ha mostrato come un utente può essere ingannato nell’esecuzione di applicazioni potenzialmente dannose, bypassando Gatekeeper.

macOS Gatekeeper

Il consulente per la sicurezza, Filippo Cavallarin, afferma che un difetto nella progettazione di macOS rende “possibile bypassare facilmente Gatekeeper“, il sistema di Apple che ha lo scopo di impedire agli utenti di eseguire app potenzialmente dannose. Il ricercatore ha segnalato il difetto ad Apple lo scorso 22 febbraio 2019 e lo sta rivelando pubblicamente solo ora, a distanza di tre mesi.

Questo problema doveva essere risolto entro il 15 maggio 2019, ma Apple ha iniziato ad ignorare le mie e-mail. Poiché Apple è a conoscenza della mia scadenza di divulgazione di 90 giorni, rendo queste informazioni pubbliche.

Normalmente, se un utente scarica un’app al di fuori del Mac App Store, Gatekeeper verificherà che sia stata firmata dal codice da Apple ed è quindi proveniente da una fonte legittima. In caso contrario, l’applicazione non viene avviata e l’utente viene informato. L’utente può comunque forzarla, ma questa è una scelta che l’utente non fa inconsapevolmente o accidentalmente.

Secondo Cavallarin, tuttavia, tutto questo può essere aggirato:

Gatekeeper considera sia le unità esterne che le condivisioni di rete come luoghi sicuri, e consente l’esecuzione di qualsiasi applicazione in essi contenuta.

L’idea è che una volta scaricato e fatto la tua scelta sull’avvio dell’app, Gatekeeper non continua a controllarlo ogni volta che vuoi aprirlo. Per questo motivo, l’utente può essere ingannato a montare una condivisione di rete non sua e la cartella in questione può contenere qualsiasi cosa, inclusi file zip che fanno parte di questa vulnerabilità.

Gli archivi Zip possono contenere collegamenti simbolici che puntano a una posizione arbitraria (inclusi gli endpoint di automount), e il software su MacOS responsabile della decompressione dei file zip non esegue alcun controllo sui collegamenti simbolici prima di crearli.

Di conseguenza, se l’utente monta questa condivisione di rete, decomprime un file e fa clic sul collegamento, rende vulnerabile il proprio Mac.

L vittima si trova ora completamente in balia dell’attaccante con la complicità di Gatekeeper, quindi qualsiasi eseguibile controllato dagli attaccanti può essere eseguito senza alcun preavviso. Il modo in cui Finder è progettato … rende questa tecnica molto efficace e difficile da individuare.

Filippo Cavallarin si definisce “esperto di cybersicurezza e ingegnere del software” e lavora per Segment Srl, a Venezia, in Italia.

Apple non ha rilasciato alcun commento a riguardo.

PromoProva Audible fino a 3 mesi gratis!
News