Vulnerabilità per Gatekeeper di macOS, rende possibile l'installazione di malware

Il ricercatore di sicurezza Filippo Cavallarin ha identificato una falla nel sistema di autenticazione Gatekeeper di macOS che, se adeguatamente sfruttata, può consentire di recapitare un pacchetto software dannoso in grado di portare in ultima istanza a prendere il controllo del sistema.

Come spiega la Mela nella pagina di supporto ufficiale, Gatekeeper è la funzionalità presente nel sistema operativo di Apple sin dal 2012 che ha lo scopo di mantenere il sistema al riparo da malware sottoponendo ad uno screening le app scaricate: quelle da App store e da sviluppatori identificati vengono aperte senza problemi, quelle che invece non sono riconosciute hanno bisogno di una conferma da parte dell'utente.

Lo screening non avviene, però, se un'app viene trasferita da una unità di storage locale, che sia stata attivata tramite automount (altra funzionalità di base di macOS). E' proprio ingannando Gatekeeper facendogli credere che un file scaricato fosse in realtà originario da un drive locale che Cavallarin è riuscito a bypassare i protocolli di verifica. Il ricercatore di sicurezza ha contattato Apple lo scorso febbraio per notificare il problema, ma non avendo ricevuto alcuna risposta ha deciso di rendere pubblica la scoperta lo scorso 24 maggio.

A quanto pare la vulnerabilità è stata sfruttata per diffondere un malware, individuato dalla societò di sicurezza Intego. Si tratta del pacchhetto OSX/Linker, che permette di prendere pieno controllo della macchina presa di mira. Il codice di OSX/Linker è stato caricato quattro volte su VirusTotal, un repository che i ricercatori usano per condividere e riconoscere esempi di malware: si tratta di una ricorrenza piuttosto bassa, e il fatto che il malware sia già stato riconosciuto da Intego rende probabile che possa essere individuato anche da altri strumenti antivirus.

A questo punto dovrebbe comunque essere abbastanza semplice riuscire ad evitare il malware OSX/Linker, specialmente se si evita di scaricare materiale da fonti non affidabili. Ulteriore contromisura - prima di una patch ufficiale - può essere quella di disabilitare l'automount, con il rovescio della medaglia di dover attivare (effettuare il mounting) manualmente dei drive esterni ogni volta che vengono utilizzati.