Lunedi 06 Luglio 2026 21:26:48 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Il punto cieco di Apple: come una falla di accessibilità in macOS ha aperto la porta al furto di dati

Pubblicato: 06 Gennaio 2026 11:34Categoria: Vulnerabilities & Patch ManagementArea: North AmericaAutore: KERNELWATCHER

Sottotitolo: Un bug critico nella funzione VoiceOver di Apple ha permesso agli attaccanti di aggirare la sicurezza e accedere ai dati privati degli utenti-fino a una recente patch d’emergenza.

Per anni, gli utenti Apple hanno confidato che macOS mantenesse i loro dati più sensibili-documenti, input del microfono ed eventi di sistema-al sicuro dietro strati di sicurezza. Ma una vulnerabilità scoperta di recente nel cuore degli strumenti di accessibilità di macOS ha infranto quella fiducia, esponendo milioni di persone a un potenziale furto di dati tramite un astuto aggiramento delle rinomate protezioni Transparency, Consent, and Control (TCC) di Apple.

Fatti rapidi

  • Una falla in ScreenReader.framework di macOS ha permesso agli attaccanti di bypassare i controlli di sicurezza TCC (CVE-2025-43530).
  • La vulnerabilità sfruttava un processo di verifica debole nel servizio com.apple.scrod, centrale per gli strumenti di accessibilità di VoiceOver.
  • Gli attaccanti potevano ottenere accesso non autorizzato al microfono, ai documenti e il controllo delle app di sistema-senza accesso root.
  • Apple ha corretto il problema in macOS 26.2, irrigidendo i controlli sugli entitlement per bloccare l’exploit.

L’anatomia di un punto cieco in macOS

La radice della violazione risiede in com.apple.scrod, un servizio dietro le quinte che alimenta le funzioni VoiceOver e di lettura dello schermo di Apple. Questo servizio, progettato per aiutare gli utenti con disabilità, era stato dotato di permessi potenti-accesso agli Apple Events, ai microfoni e a file sensibili-tutti protetti da TCC, il guardiano della privacy di Apple.

Ma i ricercatori hanno scoperto che il metodo di com.apple.scrod per verificare quali app potessero usare le sue potenti funzionalità era profondamente difettoso. Invece di controllare un identificatore sicuro e in tempo reale noto come audit token, il sistema si limitava a guardare il percorso del file dell’applicazione richiedente usando l’API SecStaticCodeCreateWithPath. In termini pratici, ciò significava che il sistema si fidava del file su disco, non del codice effettivamente in esecuzione in memoria.

Questa svista apparentemente minore ha aperto la porta a un classico attacco Time-of-Check to Time-of-Use (TOCTOU). Un attaccante poteva sostituire un’app legittima firmata da Apple con un sosia malevolo nel momento giusto, ingannando il sistema e ottenendo permessi elevati. Ancora più insidioso: poiché il controllo si basava sulla firma del codice Apple, gli attaccanti potevano iniettare payload malevoli-come una libreria .dylib-dentro binari Apple autentici, trasformando strumenti di sistema fidati in ladri di dati occulti.

Con questo accesso, gli avversari potevano eseguire AppleScript per controllare Finder o altre app, sottrarre documenti sensibili o persino origliare tramite il microfono-il tutto senza attivare allarmi evidenti né richiedere privilegi di amministratore.

La correzione di Apple, rilasciata in macOS 26.2, chiude finalmente la falla imponendo a com.apple.scrod di verificare un entitlement specifico direttamente dall’audit token, rendendo inutili contro questo vettore i trucchi basati sul percorso del file e gli attacchi TOCTOU.

Conclusione

Questa vulnerabilità è un duro promemoria del fatto che anche i sistemi più fidati possono nascondere debolezze-soprattutto negli angoli poco esplorati delle funzioni di accessibilità. Sebbene la risposta rapida di Apple abbia sigillato questa specifica crepa, l’episodio sottolinea la necessità di un controllo incessante e di trasparenza nella progettazione della sicurezza. Man mano che gli attaccanti diventano sempre più creativi, i difensori devono tenere il passo, affinché un altro punto cieco non lasci gli utenti esposti.

WIKICROOK

  • TCC (Transparency, Consent, and Control): TCC è il sistema di macOS di Apple che gestisce i permessi delle app e la privacy dei dati degli utenti, richiedendo il consenso dell’utente per l’accesso a informazioni sensibili.
  • TOCTOU (Time: TOCTOU è una race condition in cui lo stato di una risorsa di sistema cambia tra la verifica e l’uso, potenzialmente consentendo agli attaccanti di sfruttare questo divario temporale.
  • Entitlement: Un entitlement è un’autorizzazione concessa da un sistema operativo ad app o servizi, che permette l’accesso a risorse o azioni specifiche e rafforza i controlli di sicurezza.
  • Audit Token: Un audit token è un identificatore sicuro in macOS che verifica e traccia l’identità di un processo in esecuzione per finalità di sicurezza e auditing.
  • .dylib: I file .dylib sono librerie dinamiche usate dalle app macOS. Gli attaccanti possono sfruttarle per iniettare codice malevolo o dirottare il comportamento dell’applicazione.