C’è un pericolo che si nasconde nel codice di macOs. Lo sviluppatore diciottenne Linus Henze ha pubblicato su Youtube un video dimostrativo per spiegare come sia possibile bucare il Portachiavi del sistema operativo, contenente le password salvate dall’utente. L’exploit, ribattezzato Keysteal, funziona anche su Mojave (ma non su iCloud) e si basa sull’esecuzione di un malware nel Mac, che porterebbe il programma maligno a violare il Portachiavi e a estrarre le chiavi registrate nelle sezioni “login” e “system”. Una volta ottenute queste password, non sarebbe difficile per un hacker scagliare un attacco più ampio al sistema, che aggirerebbe anche funzionalità di sicurezza molto robuste come Access Control List e System Integrity Protection.
Va ribadito però che il pirata informatico dovrebbe prima di tutto inserire un malware sul Mac e, quindi, dovrebbe riuscire a raggirare l’utente mascherando ad esempio un software maligno come se fosse legittimo. Henze, al momento si è rifiutato di inviare i dettagli tecnici del bug ad Apple e si è limitato a pubblicare il video di prova sul Web. Lo sviluppatore tedesco, contattato da Forbes, ha spiegato che la Mela non prevede ricompense per le vulnerabilità scovate su macOs, ma solo per le falle di iOs.
Da qui la sua scelta di tenere la bocca cucita. “Trovare bug come questo richiede del tempo”, ha sottolineato il giovane. “Credo che pagare i ricercatori sia la cosa giusta da fare, perché aiutiamo Apple a rendere più sicuri i propri prodotti”. Al momento il colosso di Cupertino ha preferito non commentare la notizia e non è dato sapere se l’azienda ed Henze siano entrati in qualche modo in contatto.
Ma la Mela dovrà sicuramente dare delle risposte pubbliche riguardanti il baco di Facetime, venuto alla luce di recente. L’House Energy and Commerce Committee statunitense ha dato tempo al Ceo Tim Cook fino al 19 febbraio per informare il Congresso sulla vulnerabilità, che permette di attivare il microfono dell’iPhone del destinatario prima dell’accettazione della chiamata. Due deputati americani, Frank Pallone, Jr e Jan Schakowsky hanno espresso la propria preoccupazione sul silenzio di Apple dopo la scoperta del bug.
Anche perché a informare il colosso californiano è stato un ragazzino di 14 anni, Grant Thompson, che si è messo in contatto con la società una settimana prima che la falla divenisse di dominio pubblico. Il comitato a stelle e strisce ha richiesto ufficialmente alla compagnia di fornire l’esatta cronologia degli eventi e di spiegare come la Mela intenda proteggere i propri clienti. Nell’attesa di una risposta di Cook, Apple ha spiegato che risolverà il buco di Facetime questa settimana.