Mac OS X: benvenuti sul Web

L'avevamo scritto citando Brian Martin dell'Open Source Vulnerability Database: "Apple si sta guadagnando l'attenzione della comunità  dei ricercatori di sicurezza". Il sistema della mela, in altre parole, è sempre più sotto l'occhio dei cacciatori di vulnerabilità  e degli scrittori di Worm. E quando cominciano, siano essi cracker o hacker, non si fermano. Negli ultimi giorni sono stati rintracciati ben quattro pericoli di sicurezza per Mac OS X. In ordine: un worm, un altro worm e due vulnerabilità  con relativi esempi di applicazione.

Il pericolo maggiore viene dall'ultima scoperta, divulgata il 20 febbraio e giudicata da Secunia "Estremamente Critica". In pratica Mac OS X può essere spinto ad eseguire file scaricati automaticamente dalla rete all'interno della shell senza nessuna azione dell'utente. Il sistema può essere sfruttato sia sul Web, ossia visitando una pagina con Safari, sia via e-mail, forzando l'utente a cliccare su un allegato che appare, all'interno di Apple Mail, un semplice file immagine. Sia con account di amministratore, sia con account di utente normale. Con gli script si può, praticamente, fare qualsiasi cosa sul sistema aggredito.

Gli errori sono, come hanno notato in molti, equiparabili ai tanti che hanno fatto la "sfortuna" in tema di sicurezza di Internet Explorer e Outlook. In verità  gli errori in cui incorrono i programmi di Mac OS X sono ancora più banali.

In primo luogo il sistema di Apple è impostato per aprire file presenti in un archivio Zip usando un programma specificato all'interno dello stesso archivio. Per far eseguire uno script basta: scrivere uno script bash e camuffarlo da immagine o video (basta cambiare l'estensione e togliere l'header dello script), includerlo in un archivio Zip, includere nell'archivio anche il file che indica di aprire lo script non con il programma predefinito ma con il terminale e il gioco è fatto. Se il file viene scaricato da Safari ed eseguito, ed è l'impostazione di default per i file considerati "sicuri", esso viene scompattato ed eseguito automaticamente; se viene salvato (per esempio con Firefox) e poi aperto, si esegue ancora automaticamente. Tutto cià avviene se si usa il sistema con l'account da amministratore, eventualità  molto comune.

A questa vulnerabilità  se ne è aggiunta un'altra che riguarda il programma di posta elettronica. È stata chiarita [Update 2] sempre dal Sans e divulgata da Heise.de. La logica è più o meno la stessa: si fa credere ad Apple Mail che il file inviato sia un'immagine per spingere l'utente a cliccarlo mentre si imposta, attraverso un curioso campo non standard dell'e-mail, il programma con cui eseguirlo. In questo modo l'immagine, che è in realtà  uno script, viene aperta non nel visualizzatore di immagini ma nel terminale e quindi può eseguire qualsiasi comando sul sistema. In questo caso la vulnerabilità  si esegue anche in un account non da amministratore, anche se gli effetti saranno limitati.

Gli errori di Mac OS X sono diversi: l'avvio automatico di un download in Safari; la sua esecuzione automatica se considerato "sicuro"; la possibilità  di camuffare uno script nocivo come file immagine o video in un archivio Zip; la possibilità  di mascherare un file nocivo da immagine semplicemente agendo sull'estensione; la possibilità  di eseguire, con una semplice modifica delle intestazioni delle e-mail, un file come script di shell.

Ma non è finita: mancano i due worm. Il primo, Leap.A, è in verità  una sorta di programma nocivo che deve essere scaricato ed eseguito dall'utente di iChat e che non prevede un'installazione automatica (anche se prevede una diffusione automatica in un sistema infetto). Più pericoloso il secondo worm, Inqtana.A, di cui ieri sono apparsi anche nuove versioni. Il worm sfrutta una vulnerabilità  di Mac OS X già  corretta nel maggio 2005 che riguardava la possibilità  di inviare ed eseguire file attraverso la connessione Bluetooth. Il worm comparso in rete in realtà  è un "proof of concept" e non un vero e proprio worm: l'autore lo ha scritto per mettere in evidenza la possibilità  di utilizzare un sistema Mac per inviare file nocivi attraverso il Bluetooth e non per creare un worm eseguibile. Il worm si disattiverà  il 25 febbraio e la sua diffusione è stata limitata indicando una portata limitata di indirizzi ai quali inviarsi.

Il worm, ed è la cosa più interessante, ha ricevuto anche una sorta di recensione da parte dell'autore. La sua descrive, tra l'altro, le possibili impostazioni di Mac OS X che potrebbero essere sfruttate dal Worm giungendo ad una conclusione: "OS X contiene caratteristiche che possono certamente favorire in futuro la diffusione di malware".