16 Novembre 2023
Dopo aver aspettato 10 mesi, Jeff Johnson - sviluppatore già noto per aver scoperto diverse vulnerabilità di software e servizi online - ha reso pubblica l'esistenza di una falla in macOS Ventura che permette di aggirare "Gestione app" del sistema operativo Apple e che non è stato ancora sistemato nonostante la segnalazione di Johnson risalga al 19 ottobre 2022.
Il 21 ottobre dello scorso anno Apple Product Security ha recepito la segnalazione. Ma il problema persiste e secondo Johnson non sarà risolto in modo tempestivo, cosa che tra l'altro impedisce allo sviluppatore di ottenere la ricompensa che viene offerta a chi ha trovato un problema, ma solo quando questo viene risolto. Per questo ha deciso di rendere nota la falla, ma lo ha fatto dopo aver concesso a Apple ben più dei 60 o 120 giorni durante i quali generalmente una vulnerabilità viene tenuta nascosta per evitare che malintenzionati se ne approfittino e per dare tempo a chi di dovere di risolvere la questione e rilasciare la necessaria patch.
In tutto questo Johnson è paradossalmente accreditato nelle note di sicurezza della versione 13.4 di macOS Ventura, proprio grazie alla sua segnalazione che è stata però utile per sistemare un'altra falla. Il tutto senza che lo sviluppatore abbia ricevuto compensi.
In passato Johnson ha lasciato una traccia pubblica della scoperta della vulnerabilità. In un post pubblicato a ottobre sul suo blog personale ha parlato dell'esistenza di sei strade per un'applicazione di ottenere i permessi dalla Gestione app di macOS Ventura. Non ha però rivelato il sesto metodo, almeno fino a oggi. Si tratta infatti dell'exploit creato sfruttando la falla in cui si è imbattuto, che attraverso l'App Sandbox permette di accedere a file che dovrebbero essere protetti dalla Gestione app, una novità introdotta proprio con macOS Ventura.
La procedura - illustrata nel dettaglio nel blog di Johnson - non è particolarmente complessa e nelle mani sbagliate può facilmente diventare, come dimostrato dallo stesso sviluppatore, un software automatizzato in grado di causare danni. L'exploit consente infatti l'accesso e la modifica di file e può mettere a rischio l'integrità del sistema. Tutto ora reso pubblico, cosa che speriamo sproni Apple a rilasciare il prima possibile una patch in grado di sistemare il problema.
Commenti
Non importa che tutti gli utenti del mondo stiano dietro i bollettini o meno, è importante informare se è nota.
Per farti un esempio se ho un bug su safari magari per un periodo uso un browser alternativo.
E poi visto che fai l'esempio della porta di casa io ti faccio l'esempio di un difetto di fabbrica di un auto, vorrei saperlo per ridurre qualsiasi danno
Se la tua auto ha un problema intrinseco, preferiresti non saperlo fino a quando non viene risolto? Meglio saperlo comunque, magari si guida con più accortezze. Solo la mia opinione, ovviamente.
E beh, tutti gli utenti del mondo stanno dietro ai bollettini di sicurezza e hanno le capacità per prendere dei provvedimenti (che molto spesso senza una patch non ci sono). Per me, per quanto lo scopo sia nobile di far arrivare la patch il prima possibile, questo metodo è troppo rischioso. Non sto contestando il fatto della caccia ai bug, ma solo il fatto di pubblicare le falle. Se io lasciassi la porta di casa aperta, non vado ad urlare a tutto il mondo che chiunque può entrare indisturbato in casa mia.
Invece è giusto che lo dicano perché io utente vorrei sapere se ci sono falle aperte ancora da sistemare, così potrei prendere i giusti accorgimenti per limitare potenziali rischi.
Anche perché come ha scoperto la falla il tizio magari lo hanno fatto anche altri con scopi diversi.
apple è invulnerabile (cit.)
la logica è che ti avviso subito della falla così hai modo di coprirla ma se non lo fai, devo mettere in guardia gli utenti che potrebbero avere problemi
Le aziende hanno già abbastanza il coltello dalla parte del manico.
Questa è l'unica arma che hanno i white hat.
Sarebbe più semplice se le aziende prendessero seriamente la sicurezza, pagassero e pubblicassero la patch.
Lo so che è lo "standard" del settore, ma per me è un comportamento assurdo. Sul premio per aver scoperto un problema niente da dire, ovvio che uno ha le capacità, spreca del suo tempo per fare "l'hacker buono" è giusto che venga ripagato. Ma il fatto di pubblicare il problema dopo tot tempo non mi piace affatto. Ovvio che l'azienda deve sistemare il bug di sicurezza, ma preferire che le falle aperte non vengano rese pubbliche. Invece della "minaccia" della pubblicazione, come detto preferire una multa o qualcosa che forzasse l'azienda a sistemare il problema ma senza renderlo pubblico.
Parti da alcuni presupposti sbagliati:
1) Questo è lo standard del settore, questo sviluppatore ha aspettato molto più del dovuto
2) Molte aziende hanno le "taglie" per pagare appunto chi trova i bug
3) Se Apple e Google non pagano queste falle, indovina chi paga per avere bug 0 day?
4) Chi ci rimette se una azienda non risolve un bug è sempre l'utente finale.
Stessa cosa di project zero di Google, sta cosa di pubblicare le falle non l'ho mai tollerata. Più che incentivo a risolvere il problema, mi sembra più una minaccia come quando si vuole ricattare qualcuno "se non ci dai i soldi entro tot giorni, pubblichiamo documenti compromettenti" "se non chiudi la falla entro tot giorni, la renderemo pubblica". Ok è un esempio per assurdo, però la logica mi sembra quella. Magari creerei un organo di controllo che possa multare le società che non si preoccupano di chiudere le falle in un tempo stabilito, ma sta cosa del "minaccio, quindi fanno" è un boomerang dove ci vanno di mezzo gli utilizzatori di un determinato SW, OS, ecc. Una volta che la falla è pubblicata, se la patch non c'è non è detto che arriverà veramente nel giro di poco tempo e intanto gli hacker si fanno i loro comodi con i nostri sistemi.
sorry, qui appena esprimi un'idea ti danno del troll!
mi sa che proteggono quelli speciali qui :) quelli che fanno 103+1
Posto screen del mio post, visto che quell'utente mi sa che ha un santo in paradiso e mi bloccano i messaggi:
https://uploads.disquscdn.c...
E' un tr0ll, state sprecando il fiato...
L'analista non proteggi nessuno, segnala e se non riceve risposte e soldi rende pubblico con la speranza che il problema venga risolto e riceva il giusto compenso, poi se Apple ha "ignorato" la segnalazione e un fatto non piacevole.
Non credo perdesse i soldi se e stato il primo a individuare la falla, invece credo proprio che i soldi li facessero comodo, se ne ha bisogno o no non lo so.
il tizio ha segnalato un bug, apple lo ha ignorato, come fa spesso con i tester, e come fanno tutti dopo aver dato tempo di sistemare le cose pubblica la sua ricerca, non può aspettare i comodi di apple, se altri la trovano e pubblicano prima di lui si perde il paper.
non credo abbia bisogno di quei soldi.
Il tizio ha segnalato;
chi doveva fare non ha fatto;
l'analista _ per proteggere gli utenti _ ha reso pubblico la sua scoperta ;-)
Vabbè apple è una piccola azienda. Capisco che non si possa permettere di pagare chi lavora per lei.