Trasparenza e privacy

Powerdir, il bug di macOS scoperto da Microsoft che mette a rischio la privacy: la patch non basta

Microsoft 365 Defender Research Team riporta che attaccanti potrebbero sfruttare una vulnerabilità di sicurezza in macOS, chiamata powerdir, causando una violazione della privacy degli utenti Apple. L’azienda di Cupertino aveva già rilasciato la patch, ma non basta a mettere in sicurezza i dati personali

12 Gen 2022
C
Mirella Castigli

Giornalista

Microsoft avverte dell’esistenza di un bug in macOS, noto come powerdir, in grado di consentire a eventuali attaccanti di violare la privacy degli utenti accedendo ai dati riservati.

In particolare, lo sfruttamento della vulnerabilità potrebbe consentire a un avversario di accedere al microfono di un Macbook per registrare conversazioni private e catturare screenshot dello schermo contenenti informazioni sensibili.

Recentemente Apple aveva già rilasciato la patch per la vulnerabilità CVE-2021-30970 nel suo sistema operativo per notebook e desktop, ma non è bastata a correggere il problema di sicurezza: i dati degli utenti rimangono a rischio di violazione.

La falla powerdir in Apple macOS

La vulnerabilità CVE-2021-30970 risiede in un problema di logica nel framework di sicurezza Transparency, Consent and Control (TCC). Esso consente agli utenti di configurare la privacy direttamente dalle impostazioni nelle app e quindi di fornire l’accesso a file e dati dell’applicazione protetti.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Il panel relativo a Security & Privacy nelle Preferenze di Sistema in macOS funziona da front-end di TCC. Un attore malevolo potrebbe sfruttare la falla nella piattaforma di Apple per esporre informazioni personali degli utenti di macOS.

CVE-2021-30970 è la quarta vulnerabilità che consente di bypassare i controlli di sicurezza del framework TCC, dopo la scoperta di CVE-2020-9771 (Time Machine mounts), CVE-2020-9934 (che riguardava Environment variable poisoning) e CVE-2021-30713 (Bundle conclusion issue), bug già risolti da Apple.

Non basta la patch di Apple per il bug

Microsoft 365 Defender Research Team, che aveva già avvertito Apple dell’esistenza della falla lo scorso 15 luglio, riporta però che la patch di Apple non è sufficiente a correggere la vulnerabilità powerdir.

In particolare, l’azienda di Cupertino aveva rilasciato gli aggiornamenti di sicurezza macOS 11.6 e 12.1 lo scorso dicembre. Con l’occasione, Apple aveva rinforzato la policy che limita l’accesso a TCC alle sole app con pieno accesso al disco. Ma ciò nonostante, è possibile orchestrare un attacco in cui un’applicazione malevola potrebbe aggirare le preferenze privacy per rubare informazioni sensibili dal Macbook.

Non c’è privacy senza sicurezza

“La scoperta della falla rappresenta una buona notizia per due motivi principali”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

“In primis, perché la falla risiede in un framework sviluppato da Apple per fornire ai propri utenti un maggiore controllo sulla modalità con la quale le applicazioni accedono a file e informazioni. Questo componente è quindi uno strumento essenziale per garantire la privacy degli utenti, a dimostrazione che non può esistere privacy senza security. L’esistenza di un simile framework è la dimostrazione del commitment delle aziende nella difesa della privacy dei propri utenti e il fatto che se ne effettui un assessment è la riprova di quanto sia di interesse per le organizzazioni”.

Inoltre, ogni scoperta di nuove falle significa poter mettere tutti in sicurezza: “secondo aspetto positivo è ovviamente squisitamente tecnico, una volta risolta questa vulnerabilità gli utenti possono sentirsi più al sicuro, questo perché attori malevoli potrebbero sfruttarla per accedere a dati sensibili e confidenziali degli utenti”, conclude l’esperto di cyber security.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3