Sfruttando un semplice URL e un po’ di lavoro “dietro le quinte”, il ricercatore Patrick Wardle ha dimostrato la presenza di una falla di sicurezza su macOS e su Safari legata all’apertura impropria di certi link.
Nonostante Apple vuole mantenere i propri sistemi operativi quanto più chiusi possibile all’interno dell’ecosistema, è chiaro che per poter essere utili devono supportare degli standard comuni. Se nel caso di iOS la cosa è un po’ più limitata, sul fronte macOS si ha praticamente il supporto per i principali standard del web.
La gestione degli URL personalizzati e in modo simile anche quella di documenti sono fondamentalmente un modo per un’applicazione di notificare al sistema operativo che sono in grado di gestire determinati tipi di documento. Ad esempio, VLC pubblicizza la possibilità di accettare molti formati video diversi, mentre l’app “Anteprima” fa lo stesso per un’ampia gamma di diversi tipi di file d’immagine.
Come viene sfruttata la falla di sicurezza su macOS
Sfruttando questa peculiarità, il ricercatore è stato in grado di infettare un Mac. Il funzionamento del malware e del sistema di infezione è abbastanza semplice da spiegare.
Innanzitutto, il malware viene caricato su un sito web dannoso. Quando viene visitato, il file .zip dannoso viene scaricato da macOS, che lo decomprime automaticamente. Apple consente la decompressione dei file che ritiene “sicuri”, per cui è necessario che il Mac e il browser web Safari non segnino questo file come “Non Sicuro”.
Una volta decompresso il file, l’applicazione malware è in grado di registrare il proprio gestore di schemi URL personalizzato con il file system. Il codice nella pagina web dannosa può quindi essere caricato o “sfogliato” nell’URL personalizzato, afferma Wardle, attivando macOS per cercare il gestore dell’URL appena installato e avviare l’app dannosa.
Mentre Safari richiede all’utente di annullare o consentire l’esecuzione dell’operazione, gli sviluppatori sono in grado di modificare il testo dell’applicazione in qualcosa progettato per essere fuorviante. Invece di dire “Vuoi consentire a Safari di aprire un’applicazione potenzialmente dannosa?” potrebbe dire “Vuoi consentire a Safari di aprire l’anteprima?” Cliccando su “Consenti”, il sistema operativo tenta di avviare il malware che si trova nella cartella dei download.
🛍 Iscriviti gratis ai migliori gruppi Telegram dedicati alle Offerte Tech e alle Offerte Casa 🔥