I Mac potrebbero trasformarsi nella centrale di spionaggio perfetta. Anche senza l’intervento di Yahoo. Patrick Wardle, ex dipendente della National Security Agency (Nsa) e ora titolare dell’azienda di sicurezza Synack, ha pubblicato un documento in cui descrive come anche i malware per Mac in circolazione possano registrare audio e video durante chiamate effettuate con applicazioni come Skype e Facetime. Il programma maligno, in breve, potrebbe rimanere in attesa di una sessione di comunicazione per far partire la registrazione, bypassando uno stratagemma previsto da Apple che fino ad oggi era ritenuto praticamente inviolabile. Quale? Da tempo la Mela ha inserito nei propri laptop un Led verde dotato di protezione a livello di firmware, che si accende ogni volta che la videocamera entra in funzione.
Un modo per allertare l’utente, che si può così accorgere velocemente di qualsiasi cosa sospetta. Ma il malware teorizzato da Wardle è in grado di attendere l’accensione autorizzata della videocamera (e quindi del Led), di attivarsi e di iniziare così a registrare tutti i dati che transitano sia dall’obiettivo sia dal microfono.
Wardle ha rilasciato però un tool capace di allertare l’utente quando un’applicazione non legittima tenta di intromettersi nelle comunicazioni a Led quindi già acceso. Lo strumento si chiama Oversight e, una volta installato, si avvia in automatico ogni volta che si effettua il login a servizi come Facetime e Skype. Per capire se l’app è effettivamente in funzione si deve cercare l’icona di un ombrello nel menu. Cliccando sul tasto è possibile accedere a varie impostazioni e informazioni.
Oversight prevede due diversi avvisi: uno per il microfono e uno per la videocamera. Nel secondo caso il tool “è più intelligente”, scrive Wardle, “perché può identificare il processo che sta utilizzando la videocamera. Inoltre, se un secondo processo tenta di accedervi (quando il device è già in uso), Oversight può rilevare anch’esso”. Non è detto che il secondo servizio però sia maligno, in quanto una persona potrebbe utilizzare in contemporanea Facetime e Skype (cosa abbastanza improbabile, ma non si sa mai).
Uno degli avvisi forniti da Oversight
Ma la notifica fornita da Oversight mostra anche il nome del processo (o del malware) che sta accedendo a quella risorsa hardware e il suo identificatore numerico. Lo strumento sviluppato da Wardle può anche riportare in continua gli eventi registrati nel system log (syslog), in modo che amministratori di sistema ed esperti possano in seconda battuta esaminare quanto sta accadendo nei computer.
Contattato da Zdnet, Wardle ha spiegato che al momento non sembrano esserci veri malware in circolazione in grado di sfruttare questa potenziale falla. Ma il ricercatore ha anche aggiunto che il programma non è complicato da sviluppare. “Sono poche linee di codice soltanto e non servono privilegi speciali. Attualmente, malware per Mac come Eleanor potrebbero implementare facilmente la funzionalità con questo codice”.