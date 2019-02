Marco Grigis,

Un esperto in sicurezza informatica ha scovato un bug in macOS, il sistema operativo per desktop e laptop targati mela morsicata, ma non ne comunicherà i dettagli ad Apple. È questa l’ultima vicenda che coinvolge il gruppo di Cupertino, una polemica relativa alle regole imposte dal gruppo per il suo Bug Bounty Program. E sale la preoccupazione: senza l’intervento diretto dell’azienda, la problematica rischia di essere sfruttata da malintenzionati in futuro?

Il bug in questione, scoperto dal ricercatore Linuz Henze, è relativo al Portachiavi di macOS. Sfruttato da un’applicazione ribattezzata KeySteal, la problematica può permettere l’estrazione indebita delle password di login e di sistema, sottraendole dal portachiavi senza la necessità di alcun privilegio di amministrazione. Il potenziale exploit funzionerebbe unicamente sui dettagli salvati localmente, mentre non può essere sfruttato per iCloud Keychain.

Henze, tuttavia, ha deciso di non condividere con Apple i dettagli della sua scoperta, tramite il Bug Bounty Program del gruppo. Secondo il ricercatore, infatti, il gruppo di Cupertino favorirebbe iOS a discapito di macOS nel suo programma di compensazione degli sviluppatori privati. Ancora, i premi garantiti dall’azienda sarebbero inferiori a quelli promessi dalle terze parti, un fatto che non incentiverebbe l’impegno dei ricercatori indipendenti. A oggi, il massimo che Cupertino offre per iOS è 200.000 dollari, anche quando l’integrità del sistema operativo è a rischio.

A oggi, non giungono informazioni su una possibile diffusione dell’exploit: il ricercatore, oltre ad aver negato ad Apple i risultati della sua scoperta, non ne ha nemmeno reso pubblicamente noto il funzionamento nel dettaglio. Questo proprio per evitare che malintenzionati se ne possano approfittare, mettendo a repentaglio la sicurezza dei numerosi utenti macOS sparsi in tutto il mondo. Al momento, la società di Cupertino non ha commentato ufficialmente la questione.