I ricercatori di Google Project Zero hanno reso noto al pubblico l'esistenza di una falla nella sicurezza del sistema operativo macOS. Apple ne era informata da novembre, ma non l'ha ancora risolta.
Una falla nella sicurezza di macOS (il sistema operativo dei computer Apple) consente potenzialmente agli hacker di entrare nel sistema, manometterlo o appropriarsi di dati sensibili. Tutto senza che l’utente abbia modo di accorgersene. A scoprirlo sono stati i ricercatori del team Project Zero di Google. Fin qui è tutto più o meno nella norma. Quello che stona è che la falla sia stata pubblicata prima dell’arrivo di una patch. Il motivo? I ricercatori hanno voluto dare una lezione pubblica ad Apple.
Per capire che cosa s’intende bisogna riassumere come funziona la gestione dei problemi di sicurezza. Per convenzione, i ricercatori che li individuano hanno il dovere morale di segnalarli solo al produttore del sistema, di modo che possa correggerli il prima possibile. Prima che degli hacker possano fare la stessa scoperta e sfruttare il problema. L’azienda produttrice ha poi i canonici 90 giorni per pubblicare l’aggiornamento che “tappa” il buco nella sicurezza.
Apple in questo caso è stata avvisata a fine novembre, ma entro i 90 giorni non è arrivata alcuna correzione per una falla che secondo i ricercatori sarebbe potenzialmente grave. A questo punto, per sollecitare una soluzione, il problema è finito alla ribalta delle cronache. L’azienda di Cupertino a questo punto ha battuto un colpo, assicurando che sta lavorando per valutare le diverse opzioni relative alla patch, che arriverà in tempi brevi.
A qualcuno la mossa di Google potrebbe sembrare una cattiveria, in realtà è la dimostrazione di quanto i ricercatori per la sicurezza prendano sul serio il proprio lavoro. E di quanto vorrebbero che chi produce software facesse altrettanto. Sottovalutare un problema noto è di gran lunga peggiore che non risolverne uno sconosciuto. Soprattutto se a farne le spese sono gli utenti finali.
A tranquillizzare gli animi resta il fatto (per fortuna) che in questo caso la procedura per sfruttare la falla è così complessa che difficilmente qualcuno possa averla già sfruttata.