Si ritorna a parlare di sicurezza su Mac e, purtroppo, più specificatamente di falle da risolvere. Negli ultimi tempi sono due vulnerabilità ad avere le luci della ribalta. La prima, a dire il vero, ha avuto le sue origini già ad inizio febbraio, quando il giovane ricercatore tedesco Linuz Henze ha pubblicato un video che mostra un exploit alquanto pericoloso in azione se finisse nelle mani sbagliate, che agisce sul Portachiavi di macOS.

Nel filmato sottostante di Henze, si può vedere come sia possibile sfruttare la vulnerabilità per ottenere facilmente le credenziali salvate in locale sul computer, aprendo a potenziali fughe di dati personali ed accessi non autorizzati. Il proof of concept in azione non richiede i privilegi di amministratore per essere eseguito, non viene limitato dalle liste di controllo degli accessi e si fa tranquillamente beffe della protezione dell’integrità di sistema sempre attiva. L’unica area in cui KeySteal non ha efficacia è relativa al Portachiavi iCloud, essendo salvato in maniera differente dal resto.

Il caso ha suscitato parecchie discussioni, dal momento che Henze ha deliberatamente deciso di non divulgare i dettagli tecnici della vulnerabilità ad Apple per protesta contro l’assenza di un cosiddetto bounty program. Queste iniziative sono di norma rivolte tanto ai ricercatori di sicurezza quanto anche a comuni utenti piuttosto bravi nello scovare falle di sicurezza, premiando i loro ritrovamenti sia con una menzione nei changelog correttivi sia con versamenti in denaro. Nel caso di Apple, il bounty program è previsto per iOS ma non per macOS, il che ha sollevato l’oggetto del contendere. Nel frattempo, altri ricercatori che hanno ricevuto privatamente codice e documentazione da Henze hanno potuto testimoniare l’effettiva sussistenza della falla, dandogli dunque appoggio.

Dal canto suo, Apple non ha mai risposto alle email di Henze in cui li invitava ad aprire un bounty program per macOS, limitandosi invece a chiedere in forma gratuita i dettagli. A distanza di quasi un mese, il ricercatore tedesco ha deciso di condividere la scoperta con l’azienda di Cupertino per il bene di tutti gli utenti. Una sconfitta apparente, ma che si rivela all’opposto una vittoria morale di Henze in attesa di quella più materiale, avendo infine agito con maggiore buonsenso di Apple e con la buona sorte che altre menti non altrettanto scrupolose non siano nel frattempo riuscite a replicare il bug. La responsabilità tecnica ed etica è ora tutta sulle spalle della mela, che dovrà necessariamente prendere posizione sull’istituzione del macOS bounty program favorendo così una maggiore collaborazione con gli esperti di sicurezza come già avviene su iOS, oltre a riconoscere una forma di compenso per un’attività spesso svolta in maniera indipendente con propri mezzi a favore dell’intera comunità informatica.

Google, invece, non ha certamente bisogno di riconoscimenti monetari ed agisce per conto proprio tramite il suo Project Zero. Una volta rinvenuta la vulnerabilità, essa viene comunicata all’azienda responsabile del software fallato, concedendo 90 giorni di tempo per apportare le dovute correzioni pena la pubblicazione online di tutti i dettagli tecnici necessari a testare e sfruttare la problematica. È già successo negli scorsi anni con Apple e sta di nuovo accadendo ora, divulgando un baco del kernel XNU di macOS concernente l’implementazione della tecnica copy-on-write o COW. In sostanza, utilizzando come testa di ponte il montaggio di un’immagine disco opportunamente modificata è possibile apportare variazioni anche al file system principale senza che l’utente se ne accorga.

Purtroppo un fix non è stato ancora approntato, di qui la fine del periodo trimestrale di segretezza e la conseguente pubblicazione della vulnerabilità da parte di Google; la buona notizia è che Apple sta comunque lavorando sulla correzione, collaborando attivamente col team Project Zero al fine di trovare il metodo migliore di patching.