I ricercatori in ambito di cybersicurezza, appartenenti alla divisione Zero Project di Google, hanno scovato una vulnerabilità nei sistemi operativi della Apple.
Gli stessi hanno poi deciso di divulgare pubblicamente i dettagli riguardo questa vulnerabilità di sicurezza all’interno del sistema operativo MacOs, solamente dopo che fossero trascorsi 90 giorni dall’avvertimento della casa madre.
La Apple, infatti, avvisata del problema ha lasciato trascorrere ben 90 giorni senza rilasciare alcuna patch risolutiva, seppur avendo comunicato l’intenzione di intervenire.
Il gruppo della Mela ha nuovamente annunciato il proprio intervento riguardo la falla.
La scoperta, effettuata da parte di Jann Horn e dimostrata da parte di Ian Beer, mostra come la vulnerabilità sia insita all’interno del modo in cui il software, con il compito di fornire ai processi in esecuzione un accesso sicuro e controllato all’hardware di MacOs, il kernel Xos, permetta la manipolazione dei dati da parte di terzi. Pertanto, un utente malintenzionato potrebbe, ad esempio, visionare e copiare delle immagini dei file system senza informare il sistema operativo.
Questa vulnerabilità consentirebbe infatti di bypassare la funzionalità di copia su scrittura, la cosiddetta Copy-on-write, Cow, permettendo così modifiche impreviste alla memoria condivisa tra i processi.
Questa funzionalità è molto importante perché permette ad alcuni programmi, i quali si trovano a lavorare con grandi quantità di dati, di utilizzare il disco rigido della macchina come deposito temporaneo per essi, evitando che i dati possano intasare la Ram. Il gestore della memoria di MacOs ne mantiene quindi mappata la posizione fisica, al fine di coordinare l’uso dei dati condivisi tra processi multipli. Nel preciso istante in cui uno dei processi attivi dovesse tentare una modifica dei dati in questione, la protezione Cow del gestore della memoria ne richiederebbe una copia, pertanto risulta chiaro che, di norma, un programma non può semplicemente modificare i dati condivisi con gli altri processi.
Il bug, prontamente rinominato BuggyCow, riesce tuttavia a sfruttare la vulnerabilità nel preciso momento in cui un programma scrive un nuovo file system sul disco rigido, aggiungendo non solo un nuovo file, ma riscrivendo bensì l’intera raccolta senza avvisare il gestore della memoria.
“È importante che la memoria copiata sia protetta da successive modifiche del processo di origine, altrimenti il processo di origine potrebbe essere in grado di sfruttare le doppie letture nel processo di destinazione” affermano i ricercatori all’interno del post nel quale viene descritta la vulnerabilità.
La vulnerabilità zero-day BuggyCow coinvolge chiunque abbia un dispositivo Apple, laptop o desktop che sia. Essa risulta ancora essere senza una patch.
L’unico lato positivo risiede nel fatto che, per sfruttare questa vulnerabilità, sono necessarie abilità tecniche elevatissime che pochissimi malintenzionati posseggono.