Per la sicurezza di macOS 10.13 High Sierra gli sviluppatori di alcune utility che installano estensioni del kernel (KEXT) nel sistema, dovranno agire in modo diverso dal solito.
Apple ha pubblicato un documento tecnico nel quale indica i cambiamenti. Per migliorare la sicurezza del Mac, le kernel extension installate con o dopo l’installazione di macOS High Sierra richiedono che l’utente autorizzi specificatamente la loro installazione. Il procedimento è indicato come Secure Kernel Extension Loading (SKEL). Le estensioni del kernel non richiedono autorizzazioni se erano già presenti prima del passaggio a macOS High Sierra o se le nuove sostituiscono estensioni già “approvate” dall’amministrazione.
Per disabilitare SKEL, bisogna eventualmente avviare l’utility macOS Recovery (basta tenere premuti i tasti Comando-R all’avvio), selezionare dal menu Utility nella barra dei menu la voce che consente di richiamare il Terminale e digitare il comando “spctl” (senza virgolette).
Se si resetta la NVRAM del Mac, le impostazioni di SKEL ritornano a quelle di default. È possibile impedire il reset della NVRAM impostando una password al firmware del Mac (un metodo che impedisce a terzi di effettuare cambiamenti al sistema).
Di questo cambiamento avevamo già parlato qui. Nell’ultima beta di macOS 10.13 High Sierra, Apple ha cambiato l’icona che appare nella finestra di dialogo che avvisa del blocco in corso dell’estensione. Anziché l’icona del segnale di pericolo con il punto esclamativo, ora appare l’icona della cassaforte usata per le Preferenze “Sicurezza e Privacy”.
Sempre per la sicurezza di macoS 10.13 High Sierra e dei suoi utenti, ogni applicazione richiede di installare un’estensione, l’utente vedrà una finestra di avviso a indicare che il sistema ha bloccato il caricamento KEXT: potrà ad ogni modo confermare la volontà di installarla, aprendo Preferenze di Sistema e selezionando “Consenti” nella sezione “Sicurezza e privacy”. Il pulsante che consente di accettare l’installazione rimane attivo per 30 minuti; trascorso questo tempo, sparirà e bisognerà reinstallare da zero il software, accettando nuovamente l’installazione della KEXT di terze parti.
Questo meccanismo è stato ideato da Apple per mettere al riparo gli utenti che tendono ad accettare tutto quello che viene proposto loro sullo schermo, senza fare attenzione.
Alcuni software per Mac sfruttano a volte questo meccanismo per aggiungere funzionalità di basso livello, per esempio VMWare Fusion, LittleSnitch, Duet Display e tante altre ancora. Felix Schwarz, sviluppatore dell’utility RemoteBuddy,è preoccupato ma si tratta di una nuova funzionalità del prossimo sistema operativo pensata da Apple per irrobustire la sicurezza di macOS alzando ulteriormente l’asticella che consente di tenere al sicuro il sistema.
