macOS, uno screenshot per violare la privacy

I ricercatori individuano l'ennesimo meccanismo insicuro nel sistema Apple, e questa volta si tratta di una API standard usata per catturare immagini "dal vivo" sullo schermo. Cupertino non risponde, il baco finisce on-line
I ricercatori individuano l'ennesimo meccanismo insicuro nel sistema Apple, e questa volta si tratta di una API standard usata per catturare immagini "dal vivo" sullo schermo. Cupertino non risponde, il baco finisce on-line

Il ricercatore di Fastlane Tools Felix Krause ha trovato il modo di sfruttare una API standard di macOS per mettere potenzialmente a rischio la privacy e i dati degli utenti, un metodo teoricamente sfruttabile da una qualsiasi applicazione e in maniera del tutto trasparente rispetto agli utenti di cui sopra.

L’origine del problema è CGWindowListCreateImage , API che serve appunto per catturare “un’immagine composita basata su una lista di finestre generata dinamicamente.” In pratica, la API è spesso usata dal software Mac per catturare immagini del desktop o anche per effettuare lo streaming dal vivo del sistema.

Krause ipotizza quindi l’uso della API incriminata da un’applicazione malevola, così da catturare segretamente screenshot dello schermo senza il permesso dell’utente e poi usare una libreria di riconoscimento OCR per ricostruire il testo eventualmente presente nell’immagine.

macOS, uno screenshot per violare la privacy

Il ricercatore sostiene che in questo modo è teoricamente possibile leggere password e chiavi da un manager di password, scoprire informazioni sensibili da codice sorgente, chiavi API e altro, leggere messaggi ed e-mail riservati, identificare dettagli a dir poco delicati sulla vita e le abitudini dell’utente “bersaglio”.

Krause aveva avvertito Apple del problema già a novembre, ma a Cupertino hanno deciso di ignorare le comunicazioni del ricercatore che ha quindi deciso di rendere pubblica l’esistenza della falla. Risolvere il problema non è complicato, suggerisce Krause, visto che basterebbe richiedere il permesso dell’utente per la cattura dello schermo o anche visualizzare una notifica all’atto della cattura. Krause è poi lo stesso ricercatore che qualche mese fa aveva individuato una falla nell’uso delle informazioni di geolocalizzazione su iOS.

Alfonso Maruccia
fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

15 02 2018
Link copiato negli appunti