OS X: pericolosa vulnerabilità permette di sottrarre password e dati delle app

Sei ricercatori di sicurezza provenienti dall'Indiana University, dal Georgia Tech e dall'Università di Pechino, hanno individuato una serie di "lacune di sicurezza ad alto impatto" che permettono alle app che operano in ambiente sandbox, e che sono state precedentemente approvate per la pubblicazione negli App Store della Mela, di ottenere l'accesso a dati di altre applicazioni, conservati nella directory privata di una app, e ai contenuti del Portachiavi.

I ricercatori hanno approntato uno scanner per individuare l'incidenza del problema, analizzando oltre 1600 app di OS X e 200 app di iOS. L'analisi ha mostrato che l'88.6% delle app è vulnerabile e che il codice di attacco dimostrativo inserito nell'app-scanner sandboxed ha recuperato password conservate nel Portachiavi. I ricercatori affermano che "questi problemi sono causati dalla mancanza di autenticazioni app-to-app e app-to-OS". In altri termini una volta che un'app viene autenticata nell'ambiente sandbox e "amichevole" dal sistema operativo, vengono effettuati in seguito pochi se non alcun controllo sul comportamento dell'app.

Ad una prima occhiata la possibilità di sfruttare le vulnerabilità possono apparire piuttosto basse, in quanto è necessaria un'app costruita appositamente a scopo doloso che riesca a passare i controlli di Apple o che il Gatekeeper (lo strumento di sicurezza e sandboxing di Apple) venga disabilitato o bypassato dal computer dell'utente. I ricercatori hanno però inviato agli store di iOS e OS X varie app apportunamente modificate per portare l'attacco, le quali sono riuscite a passare le ispezioni e sono diventate disponibili al pubblico. Le app sono state immediatamente rimosse dagli stessi sviluppatori dopo l'approvazione, per evitare di causare danni agli utenti.

Le scoperte dei ricercatori sono state rese note lo scorso 15 ottobre 2014 ad Apple, la quale in virtù della complessità del problema ha chiesto di posticipare di sei mesi la pubblicazione dei risultati della ricerca. In ogni caso le vulnerabilità sono state riscontrate, nonostante un tentativo di risolvere il problema, sia nel sistema operativo OS X 10.10.3, sia nella beta 10.10.4. La soluzione, del resto, potrebbe essere non così semplice: i ricercatori sostengono che gli sviluppatori dovrebbero avere a disposizione delle interfacce apposite per consentire loro di specificare e applicare policy individuali. In ogni caso potrebbe trattarsi di un rimaneggiamento, più o meno esteso, del modo in cui il sistema operativo gestisce queste attività.

Una delle falle individuate riguarda il comportamento del Portachiavi, per il quale non esiste un sistema per verificare se un'app sia autorizzata o meno a modificare le sue voci. Nel video sopra i ricercatori mostrano come una app opportunamente scritta a questo scopo possa quindi cancellare voci esistenti o crearne di nuove e riuscire ad ottenere accesso ad elementi protetti.

Un'altra vulnerabilità, mostrata nel video sopra, è presente nell'app container di OS X, che è pensato per evitare che le app scaricate da Mac App Store possano accedere a dati appartenenti ad altre app senza l'esplicito permesso di fare ciò. Apple applica questo controllo di accesso in parte dando a ciascuna app un Bundle ID, l'unicità del quale è assicurata dal Mac App Store Quest'ultimo però non verifica l'unicità del Bundle ID che appartine alle helper app: creando una helper app con lo stesso Bundle ID di un'app legittima è possibile consentire l'accesso al container di quest'ultima.

L'ultima falla è stata individuata negli URL Schemes e ha permesso ai ricercatori di intercettare l'URL scheme di altre app legittime, intercettando qualsiasi informazione che passa tra loro. I ricercatori hanno portato un altro esempio in cui un'app malevola ha registrato lo schema fbauth:// che le app iOS usano per il sign-in a Facebook e sono stati in grado di intercettare il token di autenticazione Facebook dell'utente.

I ricercatori hanno proposto però una "scanner-app" in grado di operare nell'user land per rilevare eventuali attacchi cross-app e bloccarli sul nascere allo scopo di fornire una misura di protezione immediata. Con questo sistema si esclude la possibilità di incappare in falsi positivi, ma i ricercatori sottolineano che qualche tentativo di attacco potrebbe passare inosservato. Lo scanner prototipo realizzato dai ricercatori impegna non più dello 0,2% della CPU durante le operazioni, che avvengono non appena una nuova app inizia ad usare il Portachiavi o quando le app esistenti necessitano di aggiornare le credenziali utente, entrambe occorrenze non particolarmente frequenti.

Si attende, in ogni caso, la posizione ufficiale di Apple.