All’Oslo Freedom Forum, una conferenza annuale sui diritti umani, è stata scoperto uno spyware chiamato OSX/KitM.A in grado di spiare l’attività degli utenti sul proprio Mac scattando screenshot in segreto. La notizia la dobbiamo a Jacob Appelbaum, il ricercatore ed esperto di sicurezza che ha poi rigirato le informazioni raccolte a F-Secure.
Il malware crea una backdoor in OS X attraverso un’app chiamata macs.app che si avvia automaticamente al login e che inizia a salvare stampe dello schermo nella cartella “MacApp” all’interno della Home utente. Il controllo del software avviene attraverso due server localizzati su securitytable.org e docsforum.info, ma che al momento della stesura di questo post non sembrano raggiungibili.
Ciò che spaventa davvero, tuttavia, è che OSX/KitM è firmato con un Apple Developer ID, il che significa che viene installato tranquillamente anche con tutte le barriere di OS X alzate al massimo. Gatekeeper infatti può solo limitare l’installazione del software non sicuro, ma a quanto pare l’equazione “software firmato = software affidabile” in questo caso non vale più:
Questo piccolo malware a suo modo è unico, dato che è firmato con quello che sembra un valido ID da sviluppatore Apple associato al nome di Rajender Kumar. Sebbene non sia un nome poco diffuso, forse è solo un riferimento al noto di Bollywood o cose del genere. A parte tutto, comunque, l’uso di un ID somiglia ad un tentativo di superare la tecnologia di prevenzione dell’esecuzione del software di Apple Gatekeeper.
Mentre F-Secure indaga sull’accaduto, diciamo subito che è inutile farsi prendere dal panico, tanto più che la minaccia è davvero circoscritta. Evitate di scaricare e avviare robaccia dal Web, e già sarete a buon punto; se siete stati contagiati, invece, potete limitare i danni impedendo al malware di avviarsi ad ogni riavvio, mettendo mano agli “Elementi Login” configurabili nelle Preferenze di Sistema, alla voce Utenti e Gruppi. Per il resto è praticamente scontato che Apple metterà subito mano alla cosa, con un aggiornamento del file delle definizioni e soprattutto con la revoca immediata dell’ID coinvolto. Questione di neppure mezza giornata.