Un ricercatore lancia l’allarme: il meccanismo di download di Safari, il browser Web di casa Apple, sarebbe un po’ troppo disinvolto, permettendo di scaricare in automatico file dal contenuto potenzialmente pericoloso. E per dimostrarlo ha reso pubblica una proof-of-concept in merito, come spesso accade in questi casi.
Ma Apple, dal proprio canto, non sembra considerare la cosa come una vulnerabilità legata alla sicurezza. Questo secondo Nitesh Dhanjani, ricercatore della prestigiosa società di consulenza Ernst & Young, che spiega in un esauriente post sul blog di Onlamp.com: “Safari non può essere configurato per ottenere il permesso dell’utente prima di scaricare un file”. A dimostrazione di ciò, Dhanjani ha pubblicato uno script che scarica in automatico un gran numero di file nella directory predefinita di Safari. “L’implicazione è ovvia: si può scaricare malware sul desktop dell’utente senza il suo consenso”.

Il ricercatore ha messo al corrente Apple della presunta vulnerabilità, ricevendo questa risposta: “Non stiamo trattando il caso come legato alla sicurezza, ma come una misura ulteriore per evitare download indesiderati. Lo analizzeremo con il nostro team dedicato allo sviluppo delle interfacce utente; il che potrebbe richiedere un po’ di tempo, se dovessimo ritenere opportuno incorporare la funzione richiesta”.

Oltre a questo problema, Dhanjani evidenzia come Safari non avvisi quando risorse locali (tipicamente file Html) lanciano script lato client, una funzione che – al pari dell’avviso sui download – i browser concorrenti vantano. “Si tratta di una misura di sicurezza importante: gli utenti devono sapere differenziare i rischi legati al lancio di un eseguibile scaricato (il rischio viene percepito come più alto) da quelli legati a un file Html scaricato (il rischio è percepito come più basso)”. Anche in questo caso Apple ha risposto al ricercatore promettendo “un’analisi della cosa sul fronte del miglioramento delle misure di sicurezza”, evidenziando come “l’analisi deve essere giocoforza dettagliata per considerare ogni aspetto legato alla compatibilità”.

da:mytech.it

Tags: apple, virus

Trackback URI | Comments RSS