Come farsi mandare file sensibili con un link e un gattino in MacOs e iOS

Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.

La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.

Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!

Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.

La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:

file:///private/var/mobile/Library/Safari/History.db

In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.

La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.

Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.

Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.

Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.

Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.


Ringrazio @Decio per la segnalazione.