macOS, uno screenshot per violare la privacy
Topic
Approfondimenti
Trending
tutti

macOS, uno screenshot per violare la privacy

I ricercatori individuano l'ennesimo meccanismo insicuro nel sistema Apple, e questa volta si tratta di una API standard usata per catturare immagini "dal vivo" sullo schermo. Cupertino non risponde, il baco finisce on-line
16 commenti
Sicurezza Privacy
I ricercatori individuano l'ennesimo meccanismo insicuro nel sistema Apple, e questa volta si tratta di una API standard usata per catturare immagini "dal vivo" sullo schermo. Cupertino non risponde, il baco finisce on-line

Il ricercatore di Fastlane Tools Felix Krause ha trovato il modo di sfruttare una API standard di macOS per mettere potenzialmente a rischio la privacy e i dati degli utenti, un metodo teoricamente sfruttabile da una qualsiasi applicazione e in maniera del tutto trasparente rispetto agli utenti di cui sopra.

L’origine del problema è CGWindowListCreateImage , API che serve appunto per catturare “un’immagine composita basata su una lista di finestre generata dinamicamente.” In pratica, la API è spesso usata dal software Mac per catturare immagini del desktop o anche per effettuare lo streaming dal vivo del sistema.

Krause ipotizza quindi l’uso della API incriminata da un’applicazione malevola, così da catturare segretamente screenshot dello schermo senza il permesso dell’utente e poi usare una libreria di riconoscimento OCR per ricostruire il testo eventualmente presente nell’immagine.

macOS, uno screenshot per violare la privacy

Il ricercatore sostiene che in questo modo è teoricamente possibile leggere password e chiavi da un manager di password, scoprire informazioni sensibili da codice sorgente, chiavi API e altro, leggere messaggi ed e-mail riservati, identificare dettagli a dir poco delicati sulla vita e le abitudini dell’utente “bersaglio”.

Krause aveva avvertito Apple del problema già a novembre, ma a Cupertino hanno deciso di ignorare le comunicazioni del ricercatore che ha quindi deciso di rendere pubblica l’esistenza della falla. Risolvere il problema non è complicato, suggerisce Krause, visto che basterebbe richiedere il permesso dell’utente per la cattura dello schermo o anche visualizzare una notifica all’atto della cattura. Krause è poi lo stesso ricercatore che qualche mese fa aveva individuato una falla nell’uso delle informazioni di geolocalizzazione su iOS.

Alfonso Maruccia
fonte immagine

15 02 2018

Link copiato negli appunti

Ti potrebbe interessare

Facebook: tool per trovare gli indirizzi email

Facebook: tool per trovare gli indirizzi email
Raccolta dati: Google ha ingannato gli utenti

Raccolta dati: Google ha ingannato gli utenti
SARI Real Time bocciato dal Garante della Privacy

SARI Real Time bocciato dal Garante della Privacy
WordPress blocca la tecnologia FlOC di default?

WordPress blocca la tecnologia FlOC di default?
Facebook: tool per trovare gli indirizzi email

Facebook: tool per trovare gli indirizzi email
Raccolta dati: Google ha ingannato gli utenti

Raccolta dati: Google ha ingannato gli utenti
SARI Real Time bocciato dal Garante della Privacy

SARI Real Time bocciato dal Garante della Privacy
WordPress blocca la tecnologia FlOC di default?

WordPress blocca la tecnologia FlOC di default?
Alfonso Maruccia
15 02 2018
Link copiato negli appunti