Redazione RHC : 15 Agosto 2023 08:56
Patrick Wardle, noto ricercatore di sicurezza macOS , ha presentato i risultati di uno studio nella recente conferenza Def Con, secondo cui lo strumento di rilevamento del malware Background Task Management integrato in macOS contiene diverse spiacevoli vulnerabilità.
Puoi usare tali vulnerabilità per bypassare il monitoraggio dell’esecuzione automatica dell’utilità di sistema di cui sopra, riducendone così l’efficacia. Lo strumento è stato aggiunto dagli specialisti di Cupertino a macOS Ventura nell’ottobre 2022.
Non esistono modi perfetti per rilevare il malware, ha affermato Wardle, poiché si tratta essenzialmente di software, proprio come qualsiasi altra applicazione. Pertanto, Apple e terze parti sviluppano costantemente nuovi meccanismi per rilevarli.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Background Task Management ha lo scopo di monitorare i programmi all’avvio del sistema. Nonostante il fatto che molti programmi legittimi utilizzino la funzione di esecuzione automatica, la comparsa inaspettata di nuove voci nell’esecuzione automatica può indicare attività dannose. Quando vengono rilevati tali eventi, lo strumento dovrebbe inviare notifiche all’utente e ai sistemi di sicurezza di terze parti.
Tuttavia, Wardle ha trovato diversi modi per aggirare il monitoraggio di questo strumento, anche senza ottenere l’accesso root. È interessante notare che il ricercatore ha deciso di divulgare le vulnerabilità identificate alla conferenza Def Con senza avvisare Apple in anticipo, che è una pratica classica nel campo del bug hunting.
Questa decisione è dovuta al fatto che Wardle aveva precedentemente informato l’azienda di altri difetti di questo strumento, che, sebbene eliminati dagli specialisti, non vedeva la cosa più importante: che era necessario un approccio più completo. In senso buono, la gestione delle attività in background deve essere riscritta da zero, tenendo conto di tutti i difetti di sicurezza noti.
Secondo Wardle, uno dei modi che ha scoperto per aggirare il monitoraggio richiede l’ottenimento dell’accesso root al dispositivo. È importante affrontare questa vulnerabilità perché a volte gli aggressori possono ottenere questo livello di accesso a un sistema e desiderano disabilitare gli avvisi per installare silenziosamente quanti più malware possibile su un computer.
Più preoccupante, tuttavia, è che Wardle ha trovato altri due modi per disabilitare gli avvisi dello strumento senza alcun accesso root. Uno di loro sfrutta un bug nell’interazione con il kernel del sistema operativo e l’altro sfrutta la capacità di sospendere i processi, disponibile anche per gli utenti ordinari. Questa funzione può essere utilizzata per interrompere l’invio delle notifiche prima che raggiungano l’utente.
Secondo il ricercatore, correggere queste vulnerabilità riporterà semplicemente la sicurezza di macOS al livello che era prima dell’avvento del Task Manager in background.
L’atto di Wardle non può essere definito giusto, perché con le sue azioni, infatti, ha indicato agli hacker dove è possibile attaccare su sistemi ancora privi di patch da parte di Apple.
Tuttavia, voleva dare un segnale che ora risulta difficile ignorare da parte dell’azienda di Cupertino. È del tutto possibile che in futuro Apple rielaborerà in modo significativo questo strumento in modo che soddisfi tutti i moderni standard di sicurezza.
APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno ...
Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...
Il tema dell’hacking e del furto di auto tramite Flipper Zero è tornato alla ribalta in tutto il mondo e anche noi ne abbiamo parlato con un recente articolo. Questa volta, gli hacker hann...
F6 ha segnalato un forte aumento delle frodi in cui i criminali sfruttano i minori per accedere ai conti bancari dei genitori. Secondo gli analisti, nella prima metà del 2025 sono stati registrat...
Microsoft ha rilasciato una nuova build 26200.5761 (KB5064093) di Windows 11 Insider Preview per gli utenti Windows Insider nel Canale Dev. L’aggiornamento introduce diverse interessanti funzio...