Mac App Store, sandbox sotto osservazione

Secondo gli esperti di sicurezza è possibile aggirare il sandbox dei programmi Mac passando dal normale protocollo di comunicazione tra app. Reale vulnerabilità o naturale limite del meccanismo?
Secondo gli esperti di sicurezza è possibile aggirare il sandbox dei programmi Mac passando dal normale protocollo di comunicazione tra app. Reale vulnerabilità o naturale limite del meccanismo?

Continua a far discutere la segnalazione dei ricercatori argentini di Core Labs Research, riguardante la sandbox Mac. Secondo gli esperti di sicurezza, la tecnologia sviluppata da Apple per il nuovo sistema desktop non è assolutamente a prova di bomba. Ma la didascalica replica di Cupertino non conferma e non smentisce il problema.

I tecnici Apple hanno recentemente introdotto un sistema che isola giochi e programmi Mac in un recinto, simile a quello usato per le app mobile di iOS. A partire dal prossimo marzo gli sviluppatori che intendono rilasciare software sulla vetrina del Mac App Store dovranno obbligatoriamente includere questa protezione che limita i permessi per proteggere l’OS.

I test condotti da Core Labs su Mac OS X 10.7.x, 10.6.x e 10.5.x dimostrano però che il sistema è difettoso, e che sarebbe possibile aggirare le restrizioni stabilite utilizzando un semplice script. In pratica la sandbox veglia sui processi diretti dall’applicazione ma non su quelli generati indirettamente, quindi è comunque possibile passare da un Apple Event ufficialmente sbloccato per lanciare un altro programma che non erediterà anche le restrizioni.

Gli “Apple Event” sono messaggi che i programmi Mac utilizzano proprio per farsi richieste a vicenda. Gli applicativi che hanno la necessità di utilizzare questo protocollo di comunicazione non possono, del resto, tarparsi le ali utilizzando un lucchetto. L’unica risposta sulla questione arrivata da Apple sottolinea proprio questo, ricordando che “le restrizioni scelte per l’app restano limitate al processo in cui viene applicata la sandbox”. Ma un sandboxing parziale ha davvero senso? Il dibattito prosegue.

Roberto Pulito

Link copiato negli appunti

Ti potrebbe interessare

16 11 2011
Link copiato negli appunti