macOS vanta una serie di strumenti incorporati per rilevare malware su Mac. Tuttavia, un ricercatore nel campo della sicurezza sostiene che uno di questi strumenti, il Background Task Manager introdotto l’anno scorso, può essere facilmente aggirato. Peggio ancora, Apple non avrebbe dato seguito alle sue raccomandazioni per risolvere il problema.
Patrick Wardle ha condiviso le sue scoperte alla conferenza hacker Defcon, decidendo in modo insolito di farlo senza informare Apple in anticipo. Per essere più precisi: il ricercatore sostiene di aver sottoposto il problema all’attenzione di Apple, aggiungendo che l’azienda avrebbe corretto solamente alcune delle criticità, senza risolvere il problema alla radice.
Wardle – scrive 9to5mac – ha scoperto tre metodi di bypass: uno necessita dell’accesso root al Mac, mentre gli altri due no. Questi approcci sfruttano difetti nel sistema di allerta e nelle comunicazioni con il kernel del sistema operativo. Wardle sostiene che la scelta di condividere questi exploit con il pubblico è dovuta al fatto che il Background Task Manager attualmente offre un falso senso di sicurezza agli utenti e alle aziende.
Mentre alcuni malware vengono eseguiti una sola volta, i più pericolosi persistono – spiega 9to5mac. Il sistema XProtect di Apple cerca di rilevarli monitorando l’installazione di nuovi processi ripetuti e prolungati nel tempo. Prima ancora, il sistema predispone due filtri di sicurezza aggiuntivi: il primo si limita a verificare che tutti i nuovi programmi abbiano certificazioni che provengano da aziende e sviluppatori affidabili; mentre il secondo filtro cerca di identificare eventuali programmi malevoli, bloccandoli prima che possano interferire.
Tornando sui motivi che lo hanno spinto a divulgare la falla duarante il Defcon, prima che Apple risolvesse radicalmente il problema, Patrick Wardle ha condiviso con Wired USA la sua esperienza estenuante con l’azienda:
Quando il Background Task Manager è stato presentato per la prima volta, Wardle ha scoperto alcuni problemi basilari con lo strumento che causavano la mancata notifica degli eventi di persistenza. Li ha segnalati ad Apple e l’azienda ha corretto l’errore. Tuttavia, la società non ha identificato numerosi problemi più profondi che affliggevano questo strumento.
“Abbiamo fatto avanti e indietro e, alla fine, hanno risolto il problema, ma è stato come mettere del nastro adesivo su un aereo che sta precipitando,” dice Wardle. “Non si sono resi conto che la funzionalità richiedeva di un lavoro molto più approfondito”