La fotocamera e il microfono di macOS a rischio, avverte un ricercatore

Il malware per Mac utilizza la fotocamera e il microfono integrati per spiare segretamente

Patrick Wardle, Direttore della Ricerca di Synack, ha dimostrato come il malware possa facilmente “agganciarsi” a sessioni video e audio legittimamente avviate dall’utente, ottenendo accesso alla webcam e al microfono di un dispositivo macOS mantenendo nascosta la propria attività di spionaggio.

Il malware con questa abilità deve essere in grado di rilevare una sessione di webcam avviata dall’utente, avviare la propria registrazione e terminarla non appena la sessione legittima è finita, in modo che la fotocamera e l’indicatore LED basato sull’hardware possano spegnersi.

Ogni MacBook che Apple ha spedito per più di un decennio è stato dotato di una fotocamera e di un microfono integrati. C’è una luce LED su un MacBook che indica quando la fotocamera del dispositivo è attiva. Secondo l’analisi di Wardle, la sicurezza hardware per disabilitare l’indicatore LED è molto forte. Tuttavia, ci sono applicazioni legittime che possono accedere a una webcam quando un utente si aspetterebbe che la luce LED si accendesse.

Wardle voleva determinare, utilizzando un’applicazione non autorizzata per tracciare e registrare un utente macOS senza che questi ne fosse a conoscenza, se fosse possibile agganciarsi all’uso legittimo della fotocamera. Si scopre che la webcam è una risorsa condivisa in macOS, il che significa che gli utenti potrebbero utilizzare sia FaceTime che Skype contemporaneamente, se lo desiderano.

“Fondamentalmente, tutto ciò che fa il malware è monitorare un sistema macOS in cerca di una sessione di webcam legittima,” ha detto Wardle. “Il malware può quindi accedere alla webcam e iniziare a registrare l’utente locale.”

Tuttavia, ci sono alcune limitazioni allo scenario di attacco di Wardle. In primo luogo, l’utente macOS deve essere infettato da malware proveniente da qualche fonte per consentire l’uso non autorizzato della fotocamera. Ci sono stati esempi di app legittime per macOS che sono state compromesse in qualche modo per diventare malware, ha osservato Wardle. Detto ciò, le possibilità di un’infezione da malware sono relativamente esigue, solo se un utente ha scaricato applicazioni firmate dall’App Store di Apple per macOS.

“C’è stata una recente impennata nel malware per macOS che è consapevole della webcam,” ha detto.

Il malware OS.X Eleanor è stato rilevato pubblicamente per la prima volta a luglio, cercando di registrare gli utenti Apple, ha notato Wardle. Tuttavia, gli utenti registrati casualmente dal malware Eleanor avevano l’indicatore LED della fotocamera del MacBook acceso da solo, senza che un’altra applicazione avviasse prima la fotocamera, ha detto.

Secondo Wardle, dovrebbe essere più facile per gli utenti notare che l’indicatore LED della fotocamera dei loro dispositivi si accende da solo, notificandoli che qualcosa non va.

“Se invece avessero utilizzato questa tecnica e aspettato un uso legittimo e poi registrato l’utente, il malware Eleanor avrebbe potuto facilmente evitare la rilevazione,” ha detto Wardle.

La capacità di agganciarsi a un’applicazione esistente non è necessariamente una vulnerabilità che Apple potrebbe o dovrebbe risolvere, ha detto Wardle. Ha aggiunto che avere la fotocamera come risorsa condivisa può avere senso.

Wardle desidera uno strumento per macOS simile a quello fornito agli utenti mobili di iOS, in cui quando un’applicazione tenta per la prima volta di accedere alla fotocamera, appare una finestra di dialogo pop-up che chiede all’utente se desidera concedere l’accesso.

“Vorrei che macOS fosse più simile a iOS, dove c’è un avviso quando la fotocamera viene accessibile,” ha detto Wardle. “Questo consentirebbe al sistema di continuare a condividere la webcam, ma se il malware tenta in qualche modo di accedere al tuo sistema, vedresti una richiesta pop-up per l’accesso.”

Sebbene Apple non abbia ancora un indicatore per l’attività della fotocamera per macOS, Wardle ha costruito uno strumento gratuito chiamato OverSight che monitorerà il microfono e la webcam e notificherà l’utente ogni volta che la fotocamera e il microfono del Mac vengono accesi.

OverSight è in grado di identificare tutti i processi che accedono e utilizzano la fotocamera integrata, riconoscerli e consentire agli utenti di bloccarli:

Attualmente, per quanto riguarda l’audio, il software è in grado di identificare che il microfono è attivato e avvisare gli utenti di questo fatto.

Sebbene sia sempre facile coprire la fotocamera per bloccare registrazioni segrete, è più difficile fare lo stesso con il microfono.

Anche se Wardle è consapevole delle limitazioni dello strumento, afferma che continuerà a migliorarlo.

“Come con qualsiasi strumento di sicurezza, tentativi diretti o proattivi di bypassare specificamente le protezioni di OverSight avranno probabilmente successo,” ha osservato.

“Inoltre, l’attuale versione di OverSight utilizza API in modalità utente per monitorare eventi audio e video. Pertanto, qualsiasi malware che abbia un componente in modalità kernel o rootkit potrebbe essere in grado di accedere alla webcam e al microfono in modo non rilevato.”