Apple: il bombardamento a tappeto non minaccia Safari

di |
logomacitynet696wide

Scoperto un comportamento anomalo di Safari che scarica file non richiesti e non autorizzati dall’utente. Preoccupazione della comunità  dei ricercatori su problemi di sicurezza, ma Apple minimizza.

Safari in alcune condizioni corre il rischio di bombardare il desktop con file non desiderati. A scoprire il problema e a metterne il luce il meccanismo è statto Nitesh Dhanjani un ricercatore specializzato in sicurezza IT che lavora per Ernst & Young.

In pratica quando Safari incontra un contenuto sul Web che non è in grado di gestire e visualizzare, procede con il download automatico del file-risorsa indicato, questo senza chiedere autorizzazione all’utente. Oltre a scaricare quantità  di file non richiesti dall’utente, l’anomalia potrebbe essere sfruttata per indurre gli utenti a scaricare file malevoli senza alcun preavviso. Una volta che i file si trovano sulla scrivania del PC o nella cartella Download del Mac, l’utente potrebbe avviarne l’esecuzione senza prima essere stato preavvisato che si tratta di un file scaricato da Internet. Il comportamento risulta più pericoloso per gli utenti Windows che si potrebbero trovare file direttamente nella scrivania di lavoro, senza mai essere stati avvisati dell’avvenuto download, cosa che invece avviene con Internet Explorer e Firefox.

Dhanjani, che ha battezzato il bug come Safari Carpet Bomb, bombardamento a tappeto di Safari, per dimostrare gli effetti che esso potrebbe produrre ha sviluppato un breve ed innocuo script innocuo che lo mostra al lavoro, sia nella versione per Mac sia in quella per Windows, ultimamente sempre più diffusa e utilizzata.

Subito dopo la scoperta, Dhanjani ha contattato Apple segnalando il problema e avvisando dei potenziali pericoli, le vicende sono riportate su StopBadWare.org. Da qui si apprende che Apple ha gentilmente risposto al ricercatore, allo stesso tempo però sottolineando che prenderà  in considerazione il comportamento denunciato di Safari non come un problema di sicurezza bensì come una modifica in grado di limitare i download indesiderati dall’utente. Con questa classificazione di fatto Cupertino nega l’esistenza di un reale pericolo per gli utenti Safari, declassando Carpet Bomb da problema di sicurezza a miglioramento dell’interfaccia utente, con tutt’altro livello di priorità  per la risoluzione e, aggiungiamo noi, con ben altro impatto sull’immagine.

Il sito StopBadware e Nitesh Dhanjani sono convinti che Apple abbia sottovalutato una seria minaccia per la sicurezza dei sistemi degli utenti e consigliano ad Apple di riesaminare il problema. L’argomento è stato trattato anche da CNet in cui si accenna a un altro baco, questo di alto rischio però, sempre scoperto da Dhanjani e segnalato ad Apple.

Da quanto si apprende da CNet la falla potrebbe essere sfruttata per sottrarre file conservati nel file system dell’utente. Cupertino starebbe già  lavorando alla risoluzione del problema.