Lo scorso 3 febbraio, Linus Henze, un ricercatore in sicurezza informatica ha pubblicato un video su YouTube in cui è mostrato bug importante in MacOS Mojave. Infatti Henze mostra, in maniera chiara, che grazie ad una utility da egli progettata è possibile accedere a tutte le password salvate in “accesso portachiavi” del sistema operativo montato sui Mac. Questo sistema, chiamato “KeySteal” funziona sia se è attiva la lista di controllo degli accessi (ACL, Access Control Lista), sia se non è attiva.
Hanze dichiara, inoltre, che il suo tool consente di accedere solo alle password di login e quelle di sistema. Sono escluse, dunque, le password salvate nel portachiavi di iCloud, poiché quest’ultimo utilizza un meccanismo di memorizzazione diverso da quello presente su MacOS Mojave.
Per completezza vi diciamo che c’è un modo semplice per arginare il problema e per tenere sicure le vostre chiavi d’accesso. Infatti, basta utilizzare un ulteriore password per bloccare il “portachiavi” di sistema cosicché la utility progettata da Hanze non sarà in grado di funzionare.
LEGGI ANCHE: Microsoft ci riprova con Windows 10 Lite
Comunicati i dettagli del Bug ad Apple
Una volta trovata la falla nel sistema e pubblicata su YouTube, il ricercatore specializzato in sicurezza informatica non aveva comunicato i dettagli del bug all’azienda di Cupertino. A detta di Henze, la mancata divulgazione ad Apple era dovuta al fatto che, nonostante la scoperta della falla, non era prevista per lui una ricompensa di alcun genere. A differenza dei sui competitor (vedi Google), infatti, Apple non ha un programma di Bug Bounty che premia chi individua vulnerabilità su MacOS. Si ricevono ricompense solo nel caso in cui si trovano falle nel sistema operativo mobile, iOS.
Nonostante l’assenza di repliche da parte di Apple, il ricercatore ha mollato la presa. Recentemente ha deciso di condividere la sua scoperta in modo del tutto gratuito. Si dice, però, che molto probabilmente il suo nome comparirà nelle note di rilascio dei futuri aggiornamenti di sicurezza di MacOS.
L’augurio è che il colosso di Cupertino, dunque, rinnovi il processo di ricezione e segnalazione dei bug riguardanti il suo sistema operativo per PC in favore di una sicurezza più efficiente.
1 commento
[…] https://www.evosmart.it/news/sicurezza-macos-password-a-rischio-a-causa-di-un-bug/26925/ […]