Mac App Store, sandbox sotto osservazione

Secondo gli esperti di sicurezza è possibile aggirare il sandbox dei programmi Mac passando dal normale protocollo di comunicazione tra app. Reale vulnerabilità o naturale limite del meccanismo?

Roma – Continua a far discutere la segnalazione dei ricercatori argentini di Core Labs Research, riguardante la sandbox Mac. Secondo gli esperti di sicurezza, la tecnologia sviluppata da Apple per il nuovo sistema desktop non è assolutamente a prova di bomba. Ma la didascalica replica di Cupertino non conferma e non smentisce il problema.

I tecnici Apple hanno recentemente introdotto un sistema che isola giochi e programmi Mac in un recinto, simile a quello usato per le app mobile di iOS. A partire dal prossimo marzo gli sviluppatori che intendono rilasciare software sulla vetrina del Mac App Store dovranno obbligatoriamente includere questa protezione che limita i permessi per proteggere l’OS.

I test condotti da Core Labs su Mac OS X 10.7.x, 10.6.x e 10.5.x dimostrano però che il sistema è difettoso, e che sarebbe possibile aggirare le restrizioni stabilite utilizzando un semplice script. In pratica la sandbox veglia sui processi diretti dall’applicazione ma non su quelli generati indirettamente, quindi è comunque possibile passare da un Apple Event ufficialmente sbloccato per lanciare un altro programma che non erediterà anche le restrizioni.

Gli “Apple Event” sono messaggi che i programmi Mac utilizzano proprio per farsi richieste a vicenda. Gli applicativi che hanno la necessità di utilizzare questo protocollo di comunicazione non possono, del resto, tarparsi le ali utilizzando un lucchetto. L’unica risposta sulla questione arrivata da Apple sottolinea proprio questo, ricordando che “le restrizioni scelte per l’app restano limitate al processo in cui viene applicata la sandbox”. Ma un sandboxing parziale ha davvero senso? Il dibattito prosegue.

Roberto Pulito

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ephestione scrive:
    1984
    Tutti a dir scemenze nei commenti, che per carità fan sempre sorridere, però vi rendete conto che legge dopo legge, norma dopo norma, emendamento dopo emendamento, praticamente stiamo arrivando al grande fratello?-----------------------------------------------------------Modificato dall' autore il 18 novembre 2011 18.50-----------------------------------------------------------
  • Giuseppe C. scrive:
    anche il peso?
    allora in galera anche le ragazze che mettono i tacchi per sembrare più alte? o che si truccano per sembrare più belle? eh si perché danno una rappresentazione sbagliata di quello che sono realmente
    • calunnioso scrive:
      Re: anche il peso?
      - Scritto da: Giuseppe C.
      allora in galera anche le ragazze che mettono i
      tacchi per sembrare più alte? o che si truccano
      per sembrare più belle? eh si perché danno una
      rappresentazione sbagliata di quello che sono
      realmenteMa se una persona ha problemi di scarsa autostima e dice di essere brutta e invece non lo è, sta commettendo un reato? (newbie)
  • rugge scrive:
    alri
    Come cacchio fanno tutti a registrarsi su Facebook e lasciare ogni minimo pensiero in bacheca: sono qua, sei li, ci vediamo là.Si sono sXXXXXXXti loro stessi il sacrosanto diritto della PRIVACY.Avete visto i vari casi di omicidio? Come ti vedono nella lista amici ti telefonano i Carabinieri.Prima si chattava su Yahoo, MSN .. Ora vogliono Nome, Cognome, Data di nascita e Città per registrarti!Sono XXXXXXXX,Ma la gente è fessa!!!
  • claudio berti scrive:
    reato mentire on line????
    e perchè non introdurre la legge marziale per i politici che mentono?questa crisi sarebbe spazzata via da un bel pò di tempo quanti sono i mentitori di parte che appaiono in tutte le tv del mondo?si guadagnano premi e promozioniper il fatto citato ... mi chiedo come un attacco verbale possa portare al suicidio ? era già in condizioni personali di particolare difficoltà e questa è stata la goccia che ha fatto traboccare il vaso?qualcuno si è suicidato dopo aver perso il lavoro , che sia anche da vietare far perdere il lavoro? oppure far pagare a chi gli ha fatto perdere il lavoro?è una tragedia che una 13enne si suicida , ma fa pensare la fragilità di questa ragazza lasciata sola a sbrigare una controversia più grande di lei , una solitudine e una incapacità a chiedere aiuto, e poter essere aiutata a risolvere ........che ci sia qualcun altro che abbi responsabilità?ciao cld
  • attonito scrive:
    credo esista un ufficio apposito
    Credo esista un ufficio apposito il cui compito sia quello di SPARARE XXXXXXX su qualunque argomento legato al web.Va pero' notato - e qeusta e' la parte inquietante - come questo ufficio spari SEMPRE XXXXXXX orientate alla limitazione della liberta' in qualunque sua forma.
  • Enterprise Profession al scrive:
    Tutti criminali su PI!!!
    Praticamente, secondo questa legge, il 99% degli utenti di Punto Informatico andrebbe arrestato! (rotfl)
    • sbrotfl scrive:
      Re: Tutti criminali su PI!!!
      - Scritto da: Enterprise Profession al
      Praticamente, secondo questa legge, il 99% degli
      utenti di Punto Informatico andrebbe arrestato!
      (rotfl)Per non parlare del 99% della redazione (rotfl)
    • panda rossa scrive:
      Re: Tutti criminali su PI!!!
      - Scritto da: Enterprise Profession al
      Praticamente, secondo questa legge, il 99% degli
      utenti di Punto Informatico andrebbe arrestato!
      (rotfl)C'e' poco da ridere: anche ruppolo ha dichiarato di evadere il fisco.Quindi siamo il 100%.
      • sbrotfl scrive:
        Re: Tutti criminali su PI!!!
        - Scritto da: panda rossa
        - Scritto da: Enterprise Profession al

        Praticamente, secondo questa legge, il 99%
        degli

        utenti di Punto Informatico andrebbe
        arrestato!

        (rotfl)

        C'e' poco da ridere: anche ruppolo ha dichiarato
        di evadere il
        fisco.
        Quindi siamo il 100%.ruppolo faceva parte del 99%...
        • panda rossa scrive:
          Re: Tutti criminali su PI!!!
          - Scritto da: sbrotfl
          - Scritto da: panda rossa

          - Scritto da: Enterprise Profession al


          Praticamente, secondo questa legge, il
          99%

          degli


          utenti di Punto Informatico andrebbe

          arrestato!


          (rotfl)



          C'e' poco da ridere: anche ruppolo ha
          dichiarato

          di evadere il

          fisco.

          Quindi siamo il 100%.

          ruppolo faceva parte del 99%...Guarda che ruppolo mica mente: e' proprio cosi' lui!
          • sbrotfl scrive:
            Re: Tutti criminali su PI!!!
            - Scritto da: panda rossa
            - Scritto da: sbrotfl

            - Scritto da: panda rossa


            - Scritto da: Enterprise Profession al



            Praticamente, secondo questa
            legge,
            il

            99%


            degli



            utenti di Punto Informatico
            andrebbe


            arrestato!



            (rotfl)





            C'e' poco da ridere: anche ruppolo ha

            dichiarato


            di evadere il


            fisco.


            Quindi siamo il 100%.



            ruppolo faceva parte del 99%...

            Guarda che ruppolo mica mente: e' proprio cosi'
            lui!:OAllora ok
  • Franky scrive:
    Insomma che diamo i nostri dati ....
    Insomma vogliono che diffondiamo i nostri dati personali a chiunque per qualunque cosa? Ma questa e' follia pura... Ci scommetto che anche dietro questa trovata assurda ci sta la mano segreta degli "integralisti del copyright" che ora da perfetti integralisti stanno ispirando una legge negli Usa indegna perfino delle leggi cinesi...e italiane in materia di internet maggiori info le trovate qui:http://www.avaaz.org/it/save_the_internet/?cl=1396209285&v=11174e qui https://www.eff.org/deeplinks/2011/10/disastrous-ip-legislation-back-%E2%80%93-and-it%E2%80%99s-worse-ever
    • Franky scrive:
      Re: Insomma che diamo i nostri dati ....
      - Scritto da: Franky
      Insomma vogliono che diffondiamo i nostri dati
      personali a chiunque per qualunque cosa? Ma
      questa e' follia pura... Ci scommetto che anche
      dietro questa trovata assurda ci sta la mano
      segreta degli "integralisti del copyright" che
      ora da perfetti integralisti stanno ispirando una
      legge negli Usa indegna perfino delle leggi
      cinesi...e italiane in materia di internet
      maggiori info le trovate
      qui:

      http://www.avaaz.org/it/save_the_internet/?cl=1396

      e qui

      https://www.eff.org/deeplinks/2011/10/disastrous-iC'e'l'articolo aggiornato della EFF qui:https://wfc2.wiredforchange.com/o/9042/p/dia/action/public/?action_KEY=8173
  • Lucio, addome cianciugliante scrive:
    Mentire
    Mentire sul proprio aspetto potrebbe rappresentare un reato.[img]http://3.bp.blogspot.com/_E8BpJEni77I/SKs-7GrxG6I/AAAAAAAADWA/nggU92vJF_M/s400/Hyena-laughing.jpg[/img]
    • panda rossa scrive:
      Re: Mentire
      - Scritto da: Lucio, addome cianciugliante
      Mentire sul proprio aspetto potrebbe
      rappresentare un
      reato.Si potrebbero arrestare persone che si sottopongono a chirurgia estetica, ma anche chi si tinge i capelli, a questo punto.
      • Lucio, addome cianciugliante scrive:
        Re: Mentire
        - Scritto da: panda rossa
        - Scritto da: Lucio, addome cianciugliante

        Mentire sul proprio aspetto potrebbe

        rappresentare un

        reato.

        Si potrebbero arrestare persone che si
        sottopongono a chirurgia estetica, ma anche chi
        si tinge i capelli, a questo
        puntoNon solo se una persona dice di avere un bell'aspetto ed invece non è vero (ma anche viceversa) va arrestata. (rotfl)
  • Utente scrive:
    Rispetto delle regole ?!
    Vorrei si tenesse conto che buona parte delle regole esistenti NON sono applicate... esempio: su FB è vietata l'iscrizione sotto i 13 anni? Data di nascita falsa e larghissima diffusione: al compleanno gli utenti-bambini cambiano la data (facilissimo fare la verifica!). Su FB è vietatissimo aprire più profili, quindi sarebbero vietati quelli del proprio cane, i secondi profili, etc... ma sono diffusissimi (e infatti la "balla" sul numero di utenti che sbandiera FB è abbastanza grande)...
    • FacceBucco scrive:
      Re: Rispetto delle regole ?!
      - Scritto da: Utente
      Vorrei si tenesse conto che buona parte delle
      regole esistenti NON sono applicate... esempio:
      su FB è vietata l'iscrizione sotto i 13 anni?
      Data di nascita falsa e larghissima diffusione:
      al compleanno gli utenti-bambini cambiano la data
      (facilissimo fare la verifica!). Su FB è
      vietatissimo aprire più profili, quindi sarebbero
      vietati quelli del proprio cane, i secondi
      profili, etc... ma sono diffusissimiE MENO MALE, direi... non si capisce con quale autorità Facebook possa sentirsi in diritto di chiedere dati anagrafici reali...
      • Sgabbio scrive:
        Re: Rispetto delle regole ?!
        Su segnalazione lo fà, di XXXX l'accunt e via mail ti chiede una copia della carta d'identità.Molti servizi fanno regole, ma non sempre le fanno rispettare, un pò per convenienza, un pò per non sembrare troppo XXXXXXX, anche se poi in realtà le applica comunque, in caso di frignoni, ma non lo fa in caso di roba veramente seria.l'unico sito che attua le sue regole in maniera pure demente, che io sappia e youtube.
        • dont feed the troll/dovella scrive:
          Re: Rispetto delle regole ?!
          - Scritto da: Sgabbio
          Su segnalazione lo fà, di XXXX l'accunt e via
          mail ti chiede una copia della carta
          d'identità.A me è sucXXXXX, non credevano mi chiamassi Guido LaVespa.Ma il documento non gliel'ho mostrato.
      • panda rossa scrive:
        Re: Rispetto delle regole ?!
        - Scritto da: FacceBucco
        E MENO MALE, direi... non si capisce con quale
        autorità Facebook possa sentirsi in diritto di
        chiedere dati anagrafici
        reali...Nessuna autorita'.Fessbuk non e' un servizio pubblico ne' di generale interesse.Vuoi usarlo? Ti adegui e raccogli il sapone.Non vuoi usarlo? Che ti frega allora?
  • gino tavera scrive:
    Bugie...
    Vietate le bugie online?Come diffondere in rete che la crisi della musica è dovuta alla pirateria?Allora come mai i siti pirata che si vorrebbero chiudere contengono meno del 10% dei CD ai vertici delle classifiche?Non è che forse li si vuole chiudere perché dà fastidio il possesso o la preferenza di CD fuori catalogo al posto delle ultime novità?
    • panda rossa scrive:
      Re: Bugie...
      - Scritto da: gino tavera
      Vietate le bugie online?
      Come diffondere in rete che la crisi della musica
      è dovuta alla
      pirateria?O diffondere altre balle come quella che ci sono delle consoles vendute in perdita.
      • lol scrive:
        Re: Bugie...
        Fonti?A livello di mercato avrebbe senso, soprattutto perchè guadagnano indietro con le licenze e con i kit di sviluppo. Ma questo vale solo in un caso (in un altro invece era venduta ad un prezzo esorbitante rispetto al costo di sviluppo e produzione, in un altro era diciamo... normale)
      • Sgabbio scrive:
        Re: Bugie...
        - Scritto da: panda rossa

        O diffondere altre balle come quella che ci sono
        delle consoles vendute in
        perdita.quello è in parte vero. Nei primi anni di vita di una console, quest'ultima viene venduta sottocosto reale. Infatti i giochi su console costano di più, rispetto a quelli su pc, per tale ragione, tra royalty e licenze.ovviamente questo non significa che li giustifichi.Se mai c'è la balla che il costo di sviluppo aumenti cosi tanto da far lievitare i prezzi dei giochi, sopratutto per le console nuove.O la balla che i dlc non sono pezzi di gioco sviluppati durante la creazione, ma poi furbescamenete, non inseriti del gioco stesso, per venderli a parte.
Chiudi i commenti