image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale) TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è...
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci Non solo polvere: questo aspirapolvere rimuove anche i liqui...

macOS High Sierra con una falla grave, occhio alle password

Un ricercatore di sicurezza, ex analista NSA, ha scovato una falla in macOS High Sierra e nelle versioni precedenti che mette a rischio password e account degli utenti Mac.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Manolo De Agostini

a cura di Manolo De Agostini

Pubblicato il 26/09/2017 alle 07:11

macOS High Sierra è disponibile dalle scorse ore con il suo carico di novità, ma purtroppo c'è anche una grave falla di sicurezza. A scovarla Patrick Wardle, ricercatore di sicurezza di Synack ed ex analista NSA, che ha condiviso sul proprio profilo Twitter un video dell'exploit in azione.

Un passo, quello di Wardle, che ha seguito la comunicazione di quanto scoperto ad Apple all'inizio del mese. Non avendo ricevuto risposta, e soprattutto non vedendo correttivi, l'hacker ha scelto di mettere pressione su Apple uscendo allo scoperto.

macos high sierra

Il ricercatore ha identificato una falla nell'ultimo sistema operativo per i computer Mac - ma a quanto pare è presente anche su versioni precedenti - che permetterebbe a un malintenzionato di rubare username e password degli account immagazzinati in Keychain, in italiano noto come "Accesso Portachiavi", un'app che archivia le password e le informazioni degli account in modo che l'utente non debba ricordarle di continuo.

Nel suo filmato Wardle ha mostrato come le app non firmate accedano alle informazioni di Keychain in modo diretto, in formato testo, e senza richiedere alcuna master password. Nel filmato si vede un'app proof of concept in azione, "keychainStealer", che accede alle password testuali in chiaro di Twitter, Facebook e Bank of America archiviate in Keychain.

Più nello specifico keychainStealer mette in comunicazione il computer con un server remoto su cui è in funzione l'utility Netcat. Quando l'hacker clicca su "exfil keychain" l'app inizia a estrarre i dati e a scaricarli sul server, senza interazione e consapevolezza da parte dell'utente.

La vulnerabilità è seria perché chi accede a quelle informazioni può poi intrufolarsi ovunque, dai social network ai conti bancari. Affinché la vulnerabilità venga sfruttata, l'utente deve scaricare software con codice maligno da terze parti, una cosa che Apple sconsiglia di fare, in quanto rimanda sempre al Mac App Store.

Anzi, Apple non consente nemmeno di scaricare software da sviluppatori non certificati senza superare in modo esplicito alcune impostazioni di sicurezza. Wardle dice però che la vulnerabilità può essere sfruttata anche con app firmate, seppur il processo sia più complesso perché oltre a dover aderire all'Apple Developer Program, che richiede un esborso di 99 euro l'anno, le app sono controllate dalla Mela.

Scaricare software non firmato però è tutt'altro che difficile o raro. "La maggior parte degli attacchi odierni coinvolgono il social engineering e sembrano colpire con successo gli utenti Mac", spiega Wardle a Forbes, facendo riferimento a quelle email che sembrano legittime e su cui gli utenti cliccano in modo avventato, scaricando software dannosi. "Non sto dicendo che il nuovo exploit è elegante, ma funziona, non richiede il root e ha successo al 100%".

high sierra

Fortunatamente il codice dell'exploit non è stato diffuso, quindi il pericolo è ancora contenuto e contenibile: Apple è chiamata a un aggiornamento del sistema operativo nel più breve tempo possibile. Per ora da Cupertino è giunta solo una debole nota: "macOS è stato progettato per essere sicuro di default, e Gatekeeper avvisa gli utenti di non installare applicazioni non firmate, come quella mostrata in questo proof of concept, e impedisce loro dall'avviare l'app senza esplicita approvazione. Incoraggiamo gli utenti a scaricare software sicuro solo da fonti di fiducia come il Mac App Store e fare speciale attenzione ai dialog di sicurezza che macOS mostra".

"Da utente Mac appassionato rimango sempre deluso dalla sicurezza di macOS", ha detto Wardle ad Ars technica. "[...] Ogni volta che guardo macOS c'è qualcosa di sbagliato. Ritengo che gli utenti debbano essere consapevoli dei rischi esistenti". Wardle suggerisce ad Apple di creare un programma di bug bounty per macOS, ossia una caccia alle vulnerabilità con ricompense, come fatto per iOS l'anno passato.


Tom's Consiglia

Il MacBook Pro da 15 pollici con Touch Bar è tra i dispositivi a ricevere ufficialmente macOS High Sierra.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Questo nuovo materiale "vive" e ricostruisce gli edifici
  • #2
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #3
    Anche Amazon nella rete del “NO IVA”: ecco gli affari nascosti
  • #4
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #5
    Milioni di stampanti in tutto il mondo a rischio sicurezza
  • #6
    Questa è la tech che salverà le schede video da 8GB
Articolo 1 di 5
Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Proscenic F20A è un aspirapolvere senza fili 3 in 1 con coupon da 50€ di sconto da selezionare su Amazon, che lo porta a soli 219€.
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Leggi questo articolo
Articolo 2 di 5
TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Offerta imperdibile per la smart TV Hisense 55A8DN OLED 4K 55 pollici con tecnologia Dolby Vision IQ e 120Hz. Su Amazon sotto gli 800€!
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Leggi questo articolo
Articolo 3 di 5
Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
A volte il colore fa la differenza: questo smart speaker Sonos bianco è scontato di oltre 40€ al momento del pagamento, permettendovi di prenderlo a 187€.
Immagine di Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
Leggi questo articolo
Articolo 4 di 5
Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Buona offerta da Amazon sulle HyperX Cloud III Wireless, in sconto da 179,99€ a 119,99€, cuffie gaming con 120 ore di autonomia e audio DTS Spatial.
Immagine di Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Leggi questo articolo
Articolo 5 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.