Scopre una grave falla sui MacBook, Apple lo ricompensa con 100.500 dollari

Un banalissimo errore di design su MacOS apriva le porte ad una serie di attacchi devastanti. Qualcuno se ne è accorto, ricevendo una lauta ricompensa da Apple.

di Umberto Stentella

MacOS aveva una gravissima falla che lasciava gli utenti completamente vulnerabili, consentendo agli hacker di accedere a webcam, microfoni e perfino alla loro attività online. Fortunatamente un ricercatore di sicurezza informatica se ne è accorto in tempo, segnalando il problema ad Apple prima che potesse venire sfruttato.

Per la sua scoperta, Ryan Pickren, questo il nome dell’esperto di sicurezza, è stato ricompensato con 100.500 dollari.

Prima che Apple corresse ai ripari correggendo il problema con una patch, attraverso una catena di exploit su iCloud Sharing e Safari 15, un hacker avrebbe potuto facilmente ottenere «l’accesso completo di ogni sito visitato dalla vittima», incluse le attività su Gmail, iCloud, Facebook e PayPal.

Il bug riguardava in particolare ShareBear, la feature di MacOS per condividere file usando iCloud. Un trucchetto semplicissimo, ma dagli effetti potenzialmente devastanti: quando l’utente accede per la prima volta ad un file condiviso con ShareBear riceve una notifica da parte di macOS; la notifica viene mostrata una sola volta, successivamente l’utente non riceve più richieste di autorizzazione.

Sfruttando questo difetto di design, gli hacker potevano alterare il file condiviso, potenzialmente sostituendolo con un software malevolo. A quel punto ShareBear si limitava ad aggiornare il file con le nuove informazioni, scaricando il nuovo software senza avvisare l’utente.

L’hacker poteva installare un file malevolo nel computer della vittima, con la possibilità di riprodurlo da remoto in qualsiasi momento senza che l’utente potesse sospettare di nulla.

Ed ecco come un innocuo file .PNG poteva trasformarsi in un file malevolo in grado di spiare ogni mossa della vittima. Fortunatamente la vulnerabilità è stata sistemata e l’exploit non può più essere abusato in questo modo.

È un esempio estremamente affascinante di come un singolo difetto di design, unito ad una pluralità di altri bug non correlati tra di loro, possa diventare estremamente pericoloso

ha raccontato Ryan Pickren.

 

 

TAG
Apple Watch Series 9 e Ultra 2: il divieto di vendita negli Stati Uniti al momento è sospeso
Apple Watch Series 9 e Ultra 2: il divieto di vendita negli Stati Uniti al momento è sospeso
iPad Mini 7, manca poco: ecco cosa sappiamo
iPad Mini 7, manca poco: ecco cosa sappiamo
L'iPad Mini 7 uscirà entro la fine del 2023? Un insider giura di sì
L'iPad Mini 7 uscirà entro la fine del 2023? Un insider giura di sì
iPhone 15, macchie, bug e scocca poco resistente: tutti i guai dell'ultimo top di gamma di Apple
iPhone 15, macchie, bug e scocca poco resistente: tutti i guai dell'ultimo top di gamma di Apple
iCloud senza limiti: annunciati i nuovi piani da 6TB e 12TB
iCloud senza limiti: annunciati i nuovi piani da 6TB e 12TB
Addio iPhone 13 Mini, da oggi non è più in vendita
Addio iPhone 13 Mini, da oggi non è più in vendita
Apple Watch Ultra 2: uno schermo incredibilmente luminoso e... poche altre novità
Apple Watch Ultra 2: uno schermo incredibilmente luminoso e... poche altre novità