Un ricercaotore di sicurezza ha scoperto una nuova vulnerabilità di macOS Gatekeeper, già sfruttata da una società di adware.
Gatekeeper è un sistema ideato da Apple per garantire che le app Mac siano legittime, grazie al controllo sul codice della app che viene firmato dalla stessa Apple. Le app che non superano il controllo di Gatekeeper, e non sono quindi firmate da Apple, non possono essere installate sul Mac senza un ulteriore conferma da parte dell’utente, che a quel punto è consapevole dei rischi.
Il ricercatore di sicurezza Filippo Cavallarin ha scoperto un bug di sicurezza che riguarda proprio Gatekeeper:
La funzionalità di Gatekeeper può essere completamente ignorata. Nella sua attuale implementazione, Gatekeeper considera sia le unità esterne che le condivisioni di rete come “posizioni sicure”. Ciò significa che consente a qualsiasi applicazione contenuta in tali percorsi di essere eseguita senza ricontrollare il codice. L’utente può “facilmente” essere indotto a montare un’unità di condivisione di rete: qualsiasi cosa in quella cartella può quindi superare il controllo di Gatekeeper.
Sfruttando questo bug, qualsiasi app non firmata da Apple può passare come sicura. Come da prassi, Cavallarin ha informato Apple 90 giorni prima di rendere nota la vulnerabilità, ma a quanto pare macOS presenta ancora questa falla.
A quanto pare, una società di adware starebbe già testando questo bug di Gatekeeper per poi sfruttarlo su larga scala. Il malware in oggetto agisce come un’immagine del disco .dmg ISO 9660. Tali immagini del disco sono camuffate come programmi di installazione di Adobe Flash Player, tra l’altro uno dei modi più comuni con cui i creatori di malware cercano di ingannare gli utenti Mac.
Al momento sembra si tratti solo di test, quindi non è chiaro come questa società di adware voglia sfruttare la vulnerabilità. Una cosa è certa: poiché l’immagine all’interno delle immagini del disco è collegata dinamicamente, potrebbe cambiare lato server in qualsiasi momento, senza che l’immagine del disco debba essere modificata in loco. Pertanto, è possibile che le stesse immagini del disco (o versioni più recenti che non sono mai state caricate su VirusTotal) siano state in seguito utilizzate per distribuire un’app che ha effettivamente eseguito codice dannoso sul Mac della vittima.
Intego dice che ci sono buone ragioni per sospettare che il test sia stato eseguito dagli sviluppatori di adware OSX / Surfbuyer.
Come sempre, è consigliabile scaricare solo app dal Mac App Store e da altre fonti sicure ogni oltre ragionevole dubbio.