L’idea che un Mac possa essere infettato dai virus per molti sembra una certezza. Una leggenda diffusa e popolare che tuttavia non ha nessun fondamento di verità. Lo sanno bene tutti quelli che alcuni anni fa sono stati vittima del malware Flashback che, sfruttando una falla di sicurezza in Java, è riuscito ad infettare più di 600.000 Mac (circa l’1 per cento della base degli utenti Apple). Per l’occasione Apple ha dedicato una pagina sul proprio sito web ufficiale.
Pochi giorni fa invece un ricercatore Filippo Cavallarin, ha pubblicato sul proprio blog ciò che afferma essere un modo per bypassare la funzionalità di sicurezza di gatekeeper di macOS.
Gatekeeper è uno strumento di sicurezza macOS che verifica le applicazioni immediatamente dopo il loro download. Ciò impedisce l’esecuzione delle applicazioni senza il consenso dell’utente.
Nella sua attuale implementazione, Gatekeeper considera sia le unità esterne che le condivisioni di rete come “posizioni sicure”. Ciò significa che consente a qualsiasi applicazione contenuta in tali percorsi di essere eseguita senza ricontrollare il suo codice. Nel caso in cui l’app non provenga dallo store ufficiale e quindi non firmata, l’utente può forzare l’esecuzione annullando temporaneamente le impostazioni di sicurezza del Mac (si trovano sezione “Sicurezza e Privacy” delle Preferenze di Sistema) e accettando quindi il rischio di eseguire l’app di uno sviluppatore non noto. Se però il file scaricato contiene un malware, semplicemente aprendolo, si consente la sua esecuzione e come si dice in gergo viene “montata” una cartella condivisa in rete che una volta scompattata crea un file creato ad hoc al suo interno. Cliccando poi sul link ottenuto viene eseguita automaticamente un’app malevola senza nessun controllo da parte del Gatekeeper.
(Qui il video di Cavallarin che mostra un esempio per bypassare Gatekeeper)
La soluzione temporanea (solo per esperti):
Passati i classici 90 giorni dopo la comunicazione della vulnerabilità, l’ingegnere Filippo Cavallarin ha pubblicato sul suo blog la vulnerabilità. Ad oggi Apple ancora non ha rilasciato una patch per i propri sistemi che risolva i problemi. L’autore però suggerisce una misura temporanea e cioè quella di disabilitare l’automount da terminale.
- Edit /etc/auto_master as root
- Comment the line beginning with ‘/net’
- Reboot
Fonte: https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass