Apple Gatekeeper può essere sconfitto: macOS diventa controllabile da remoto

Gatekeeper è una funzionalità per la sicurezza integrata nelle versioni più recenti dei sistemi operativi macOS che si occupa di verificare i file prima di eseguirli. Il meccanismo controlla la presenza di una firma digitale valida e contribuisce ad evitare l’eventuale caricamento di codice dannoso.

L’italiano Filippo Cavallarin, CEO e ricercatore senior presso la veneta Segment, ha scoperto una vulnerabilità in Apple Gatekeeper che consente a un aggressore di eseguire codice arbitrario senza alcuna interazione da parte degli utenti.

Ricorrendo ai link simbolici e sfruttando la funzionalità automount di macOS è di fatto possibile eseguire codice nocivo senza che Gatekeeper drizzi in alcun modo le sue “antenne”.
Il comando autofs consente agli utenti di macOS, infatti, di montare risorse condivise in rete locale come unità locali: dal momento che Gatekeeper considera coma attendibili le risorse locali, come ha spiegato Cavallarin, è tutt’altro che complesso superare le difese del sistema operativo Apple.

Come si vede nel video che ripubblichiamo di seguito, l’attacco è davvero di una semplicità disarmante.

Il ricercatore porta come esempio un ipotetico file Zip malevolo che l’utente viene indotto a scaricare da browser web. L’archivio compresso contiene a sua volta un elemento che agisce come link simbolico facendo riferimento a una risorsa controllata dall’aggressore.
Nel video il file Documents (presentato abilmente come una cartella) viene fatto puntare alla risorsa /net/evil.com/Documents.

Con un doppio clic sulla cartella, l’aggressore può acquisire una shell per amministrare da remoto la macchina macOS.

Per arginare il problema un’operazione intelligente da porre in essere è la seguente:
1) Aprire il file /etc/auto_master come utente root.
2) Commentare (in modo da disabilitarla) la prima riga del file che comincia con /net.
3) Riavviare il sistema.

Cavallarin precisa di aver segnalato privatamente la vulnerabilità ad Apple lo scorso 22 febbraio. L’azienda ha risposto confermando che il problema sarebbe stato risolto con la distribuzione degli aggiornamenti di maggio; in realtà, come puntualizza il ricercatore, la falla è ancora presente (macOS Mojave 10.14.5 compreso). Maggiori informazioni sono disponibili in questa pagina.