Un esperto di sicurezza (ex-NSA) ha scoperto una falla sull’ultimo sistema operativo: il Portachiavi ha un anello debole
Solo ieri Apple ha rilasciato pubblicamente macOS High Sierra, l’ultimo aggiornamento per Mac e MacBook. Si tratta di un medium update, ovvero di un sistema operativo non rivoluzionato del tutto ma con novità interessanti, anche graficamente. Il problema è che tra il changelog Apple ha dimenticato di porre una patch correttiva che Patrick Wardle, ex hacker della NSA, aveva invitato caldamente a rilasciare già a inizio settembre. Il ragazzo, ora responsabile della società di sicurezza Synack, aveva scoperto che sia High Sierra che i sistemi precedenti sono vulnerabili a un attacco esterno che mette in pericolo il contenuto di Portachiavi, l’app che Cupertino usa per conservare e gestire tutte le password salvate a bordo del dispositivo.
Cosa succede
A causa di un bug nel codice di sviluppo di macOS, basta un’applicazione maligna, illeggitima e scaricata dal web, per valicare le difese, senza inserire alcuna master key, del Portachiavi, così da visualizzare, e ipoteticamente incollare su un file di testo, il contenuto dell’archivio digitale, dentro cui ci sono le password più disparate, da quelle dei social network all’home banking, per finire con le piattaforme di posta elettronica, siti di healthcare e così via. Non possiamo fare niente per difenderci contro tale minaccia?
No, almeno per il momento. Apple, nonostante avesse ricevuto la segnalazione da Wardle a inizio mese, non ha tappato il buco, non ancora almeno: “macOS è costruito per essere sicuro sin dall’inizio. Nonostante questo invitiamo i nostri utenti a non prelevare applicazioni non certificate che si trovano al di fuori dei negozi digitali ufficiali, come il Mac App Store. Il sistema notifica sul rischio di software del genere per cui invitiamo a porre la massima attenzione agli avvisi mostrati in fase di installazione”.
