I prodotti di casa Apple hanno guadagnato una grossa fetta di mercato per una moltitudine di motivi, tra questi l'affidabilità in fatto di sicurezza. Eppure sembra che le tastiere esterne USB o Bluetooth si possano infettare con un software ostile.
Alla conferenza di sicurezza informatica DEFCON 2009, tenutasi a fine luglio scorso a Las Vegas, un ricercatore che si fa chiamare "K. Chen" (immagine a lato) ha dimostrato gli effetti di questa falla, che ha poi documentato con un video molto eloquente (che potete trovare in basso). Una tastiera infettata in questo modo può essere collegata a qualunque Mac e prenderne il comando, registrando quello che viene digitato e poi riscrivendolo a rovescio. E' come se il computer fosse posseduto (e in effetti lo è, ma non da un'entità ultraterrena):
Come funziona? In sintesi, le tastiere Apple hanno del software a bordo (formalmente si chiama firmware) che ne gestisce il funzionamento tramite circa 8 kilobyte di memoria flash e 256 byte di RAM. Alterando questo software tramite un aggiornamento fasullo, la tastiera può cambiare comportamento. Per esempio, può essere trasformata in un keylogger, ossia un registratore di tutto quello che viene digitato (1 kilobyte della flash è libero, quindi si possono registrare un bel po' di caratteri), oppure può impartire al computer connesso qualunque comando a scelta dell'aggressore: per esempio "connetti il computer della vittima al mio e dammi il pieno controllo per iniettargli altra porcheria". Ovviamente in computerese quest'ultimo concetto si esprime in altro modo, ma ci siamo capiti: lo spiegone tecnico è nel white paper e nella presentazione di K. Chen qui. Siccome il firmware opera indipendentemente dal sistema operativo del computer, non c'è antivirus che tenga e la tastiera può prendere il comando direttamente durante l'avvio del Mac. E dato che il firmware risiede nella tastiera anziché nel computer, anche se azzerate il contenuto del disco rigido e reinstallate tutto da capo il Mac rimane infetto. Simpatico, vero? Come se non bastasse, quest'attacco non richiede l'accesso fisico alla tastiera da infettare, ma può essere attivato via Internet utilizzando altre falle del mondo Mac e un po' di psicologia (social engineering), per esempio spacciandolo per un aggiornamento regolare del firmware, dato che in effetti gli aggiornamenti di questo tipo capitano davvero. Il problema è mitigabile da parte di Apple bloccando il firmware in modo che non sia modificabile oppure rilasciando aggiornamenti firmware dotati di firma digitale che venga verificata e da parte degli utenti evitando di usare tastiere esterne Apple. La falla risulta ancora aperta, almeno fino al mese scorso, quando K. Chen era alla conferenza Toorcon di San Diego a presentarla.
Nessun commento:
Posta un commento