Hacker svela IOHIDeous, nuova vulnerabilità zero day in macOS

Un hacker ha individuato una vulnerabilità in macOS ma anziché segnalarla ad Apple, l'ha subito resa nota a tutti.

Vulnerabilità

Sul versante sicurezza il nuovo anno comincia con un primo grattacapo per Apple: un hacker che si fa chiamare “Siguza” ha svelato IOHIDeous, una vulnerabilità zero day che a quanto sembra è possibile sfruttare con varie versioni di macOS. Il nome assegnato alla vulnerabilità, qui i dettagli tecnici, è legato all’estensione del kernel IOHIDFamily che garantisce accesso all’hardware del Mac ed è a quanto pare sfruttabile da utenti senza privilegi.

Non è particolarmente grave come la falla “root” individuata poco tempo addietro, ma malintenzionati potrebbero sfruttare la vulnerabilità per portare a termini alcuni attacchi. L’exploit sembra funzionare su Sierra e High Sierra fino alla versione 10.13.1. L’hacker dice che la vulnerabilità non è utilizzabile con macOS 10.13.2 e di non sapere se Apple ha effettivamente risolto il problema o il mancato funzionamento è solo frutto del caso.

Perché non ha avvertito Apple, come di consueto si fa quando è individuata una vulnerabilità in un sistema? L’hacker dice di non averlo fatto perché Apple non offre ricompense su questo tipo di bug. “Non ho voluto venderla nel mercato blackhat perché non voglio essere utile alle loro cause. L’avrei inviata ad Apple se avessero un programma di bug bounty che include macOS o se la vulnerabilità potesse essere in qualche modo sfruttata in remoto”.

Recentemente anche un esperto di sicurezza che aveva individuato una falla in HomeKit era stato costretto a renderla pubblica perché a suo dire Apple aveva preso sottogamba il problema. Dopo la rivelazione pubblica, Apple si è finalmente svegliata e ha risolto il problema. “Ho pensato: perché non terminare il 2017 con il botto?” dichiara Siguza; “se avessi voluto vedere il mondo bruciare, avrei creato un ransomware zero day”.