Informatico scopre falla in macOS che consente anche di attivare la webcam: Apple lo premia con oltre 100.000 dollari

Ultimo aggiornamento: 2022/01/28 2:40.

Se avete un computer Apple, aggiornatelo appena possibile alla versione più recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto una serie di falle davvero notevoli nella sicurezza dei computer di questa marca, che permettevano di prendere il controllo di tutti gli account aperti della vittima e, ciliegina sulla torta, anche della sua webcam. 

La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un potere del genere o rivenderlo a qualche banda di criminali informatici contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al momento in cui sono disponibili delle correzioni. Per questa sua scelta responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal programma di bug bounty dell’azienda, che prevede premi variabili a seconda della gravità della falla segnalata responsabilmente.

Ma come è possibile che delle falle di un sistema operativo (in questo caso macOS) permettano di prendere il controllo degli account della vittima? A prima vista sembrerebbero due cose molto distinte. Pickren ha spiegato i dettagli della sua tecnica di attacco.

Il primo passo è molto banale: convincere la vittima a visitare con Safari, il browser standard di Apple, un sito che fa da trappola. Il sito non contiene virus o altro: ospita semplicemente un documento innocuo, per esempio un’immagine di un tenerissimo cucciolo o il classico buongiornissimo caffé, collegato tramite un link (URI) speciale, icloud-sharing:, che viene usato normalmente da Safari per i documenti condivisi tramite iCloud.

In pratica la vittima, quando visita il sito-trappola, riceve un invito a scaricare un documento condiviso innocuo. Se accetta, come è probabile se il documento ha un nome allettante, Safari scarica il documento stesso. La vittima apre il documento, vede che è una foto non pericolosa e non ci pensa più.

Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha un effetto molto insolito: siccome il documento è stato scaricato usando la funzione di condivisione di Apple, il creatore del documento condiviso può cambiare a proprio piacimento il contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio da un programma eseguibile, che a questo punto l’aggressore può attivare sul Mac della vittima quando vuole.

L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per eludere questi controlli. Il programma ostile iniettato nel Mac della vittima può quindi agire indisturbato, senza che la vittima riceva richieste di approvazione, ed eseguire per esempio del JavaScript che può fingere di provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro sito (è possibile impostarne l’origin a piacimento) e può fare tutto quello che può fare la vittima nel proprio account presso questi servizi: pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche attivare la webcam.

Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività (creando una backdoor).

Morale della storia: non fidatevi delle offerte di scaricare documenti condivisi da siti che non conoscete, neanche se i documenti sembrano innocui, e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato una copia di sicurezza dei vostri dati.

A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per i media player della stessa marca, per i suoi altoparlanti smart (che finalmente introducono il riconoscimento vocale multiutente in italiano),  per gli iPhone e per gli iPad. Smartphone e tablet passano alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di scoprire quali altri siti avevate visitato e di ottenere altri dati personali. Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono come sempre sul sito di Apple.