L'exploit del hack di Gatekeeper consente agli hacker di infiltrare malware nel tuo Mac

Gli hacker possono sfruttare lo strumento Gatekeeper per malware di Mac con un nuovo exploit e installare app dannose

Nel 2012, Apple ha introdotto Gatekeeper come un ulteriore livello di sicurezza per il suo sistema operativo desktop Mac OS X. Questa funzione è stata progettata per impedire anche agli utenti più esperti di installare accidentalmente software dannoso sui propri computer. Gatekeeper controlla il certificato digitale di un’applicazione che viene installata su un Mac per assicurarsi che sia stata firmata da uno sviluppatore approvato, o che il download provenga direttamente dall’Apple App Store.

Tuttavia, è stato scoperto che Gatekeeper consente agli hacker di infiltrare malware nel tuo Mac bypassando completamente la famosa sicurezza di Mac. Utilizzando un exploit appositamente progettato, gli attaccanti informatici sono in grado di aprire un’app Mac dannosa, anche se è configurata per aprire solo quelle scaricate dall’App Store.

L’exploit è stato scoperto da Patrick Wardle, direttore della ricerca presso la società di sicurezza Synack. Wardle ha scoperto che l’exploit è reso possibile grazie a una grave carenza di design in Gatekeeper che consente a un attaccante di utilizzare un file binario già fidato da Apple per eseguire file dannosi.

Wardle ha trovato un binario ampiamente disponibile che è già firmato da Apple, il quale, una volta eseguito, avvia un’app separata situata nella stessa cartella. A causa di preoccupazioni per la sicurezza, i nomi dei file non sono stati divulgati. Pertanto, chiamiamoli Binario 1 e Binario 2.

Ciò che fa l’exploit del hack di Gatekeeper è semplice: rinomina il Binario 1 e poi lo impacchetta all’interno di un’immagine disco Apple. Poiché il Binario 1 rinominato è già firmato da Apple stessa, verrà immediatamente approvato da Gatekeeper e sarà eseguito da OS X.

Dopo aver ottenuto accesso al core del sistema operativo, il Binario 1 cercherà il Binario 2 situato nella stessa cartella, che in questo caso è l’immagine disco scaricata. Poiché Gatekeeper controlla solo il file originale su cui fa clic un utente finale, l’exploit di Wardle sostituisce il legittimo Binario 2 con uno dannoso e lo impacchetta nella stessa immagine disco sotto lo stesso nome di file. Poiché il Binario 2 non ha bisogno di un certificato digitale per essere eseguito, può installare qualsiasi cosa desideri l’attaccante.

Un metodo simile funziona anche con i plugin (ad esempio, componenti aggiuntivi di Photoshop) che possono bypassare Gatekeeper: trova un’app che carica plugin, sostituisci il tuo malware con uno di quei plugin e ancora una volta Gatekeeper non presta attenzione.

Questi file impacchettati possono installare vari tipi di malware, inclusi keylogger, app che possono catturare audio e video, e software per botnet.

L’exploit del hack di Gatekeeper funziona su tutte le versioni di Mac OS X, inclusi El Capitan e Yosemite. Wardle ha dichiarato di essere stato in grado di testare con successo il suo exploit sulla versione beta di El Capitan.

Parlando di sicurezza e privacy, Patrick Wardle ha fatto un buon punto dicendo che:

“Se posso trovarlo, devi presumere che gruppi di hacker o stati nazione più sofisticati abbiano trovato debolezze simili. Sono sicuro che ci sono altre app firmate da Apple là fuori che possono essere abusate per bypassare Gatekeeper.”

Wardle afferma che la vulnerabilità è stata segnalata 60 giorni fa e ha in programma di presentare le sue scoperte alla Conferenza Internazionale Virus Bulletin giovedì a Praga. Nel frattempo, Apple è a conoscenza del difetto e sta lavorando a una patch per risolvere la causa sottostante. Anche se non è chiaro quando arriverà la correzione, l’unico consiglio fino ad allora sarebbe di ottenere app solo da quelle fonti di cui ti puoi fidare.