macOS High Sierra è disponibile dalle scorse ore con il suo carico di novità, ma purtroppo c'è anche una grave falla di sicurezza. A scovarla Patrick Wardle, ricercatore di sicurezza di Synack ed ex analista NSA, che ha condiviso sul proprio profilo Twitter un video dell'exploit in azione.

Un passo, quello di Wardle, che ha seguito la comunicazione di quanto scoperto ad Apple all'inizio del mese. Non avendo ricevuto risposta, e soprattutto non vedendo correttivi, l'hacker ha scelto di mettere pressione su Apple uscendo allo scoperto.

Il ricercatore ha identificato una falla nell'ultimo sistema operativo per i computer Mac – ma a quanto pare è presente anche su versioni precedenti – che permetterebbe a un malintenzionato di rubare username e password degli account immagazzinati in Keychain, in italiano noto come "Accesso Portachiavi", un'app che archivia le password e le informazioni degli account in modo che l'utente non debba ricordarle di continuo.

Nel suo filmato Wardle ha mostrato come le app non firmate accedano alle informazioni di Keychain in modo diretto, in formato testo, e senza richiedere alcuna master password. Nel filmato si vede un'app proof of concept in azione, "keychainStealer", che accede alle password testuali in chiaro di Twitter, Facebook e Bank of America archiviate in Keychain.

Più nello specifico keychainStealer mette in comunicazione il computer con un server remoto su cui è in funzione l'utility Netcat. Quando l'hacker clicca su "exfil keychain" l'app inizia a estrarre i dati e a scaricarli sul server, senza interazione e consapevolezza da parte dell'utente.

La vulnerabilità è seria perché chi accede a quelle informazioni può poi intrufolarsi ovunque, dai social network ai conti bancari. Affinché la vulnerabilità venga sfruttata, l'utente deve scaricare software con codice maligno da terze parti, una cosa che Apple sconsiglia di fare, in quanto rimanda sempre al Mac App Store.

Anzi, Apple non consente nemmeno di scaricare software da sviluppatori non certificati senza superare in modo esplicito alcune impostazioni di sicurezza. Wardle dice però che la vulnerabilità può essere sfruttata anche con app firmate, seppur il processo sia più complesso perché oltre a dover aderire all'Apple Developer Program, che richiede un esborso di 99 euro l'anno, le app sono controllate dalla Mela.

Scaricare software non firmato però è tutt'altro che difficile o raro. "La maggior parte degli attacchi odierni coinvolgono il social engineering e sembrano colpire con successo gli utenti Mac", spiega Wardle a Forbes, facendo riferimento a quelle email che sembrano legittime e su cui gli utenti cliccano in modo avventato, scaricando software dannosi. "Non sto dicendo che il nuovo exploit è elegante, ma funziona, non richiede il root e ha successo al 100%".

Fortunatamente il codice dell'exploit non è stato diffuso, quindi il pericolo è ancora contenuto e contenibile: Apple è chiamata a un aggiornamento del sistema operativo nel più breve tempo possibile. Per ora da Cupertino è giunta solo una debole nota: "macOS è stato progettato per essere sicuro di default, e Gatekeeper avvisa gli utenti di non installare applicazioni non firmate, come quella mostrata in questo proof of concept, e impedisce loro dall'avviare l'app senza esplicita approvazione. Incoraggiamo gli utenti a scaricare software sicuro solo da fonti di fiducia come il Mac App Store e fare speciale attenzione ai dialog di sicurezza che macOS mostra".

"Da utente Mac appassionato rimango sempre deluso dalla sicurezza di macOS", ha detto Wardle ad Ars technica. "[…] Ogni volta che guardo macOS c'è qualcosa di sbagliato. Ritengo che gli utenti debbano essere consapevoli dei rischi esistenti". Wardle suggerisce ad Apple di creare un programma di bug bounty per macOS, ossia una caccia alle vulnerabilità con ricompense, come fatto per iOS l'anno passato.