Xara sta per "Unauthorized Cross-App Resource Access on MAC OS X and iOS" e indica una serie di vulnerabilità nel modo in cui le app compiono l'autenticazione.

Finora, è sicuro che questo problema permetta di rubare le password di iCloud, token di autenticazione di vari servizi come Linkedin e Gmail e le password salvate in Chrome su sistemi OSX e di creare parecchi problemi anche su iOS.

La scoperta è stata di un team di studenti universitari cinesi per lo più attualmente dislocati negli USA: Luyi Xing, Xialong Bai, XiaoFeng Wang, and Kai Chen dell'università dell'Indiana, Tongxin Li dell'università di Peking (Cina) and Xiaojing Liao del Georgia Institute of Technology.

Nel documento rilasciato, questi spiegano come il problema sia legato alla necessità di usare degli url per passare delle credenziali da un'app all'altra o da un'app a un servizio.

A causa di una implementazione discutibile delle ACL (Access Control List) su OSX e di altri problemi connessi ai servizi di interconnessione tra app come Keychain, Websocket e URL Scheme sia su OSX sia su iOS, una app che gira in una sandbox può cancellare delle voci in Keychain e ricrearle in una ACL, permettendo all'app di leggere quanto vi transita.

Si sa che usare l'autenticazione via URL non è il modo migliore di fare le cose, ma nel documento redatto dai ricercatori cinesi si legge che "il problema sorge dalla difficoltà che una app incontra nell'autenticare in maniera appropriata il reale controllore di un elemento Keychain. Apple non fornisce alcun modo sensato per farlo".

E non finisce qui. Sempre nell'insieme di vulnerabilità Xara si trova un altro exploit che può portare a quello che viene definito una "crepa nel muro" (il termine usato in inglese è "container cracking" ma in italiano ci sono varie forme).

Sfruttandolo, un malware può accedere alla sandbox di qualsiasi app sia progettato per attaccare.

iOS e la risposta di Apple

Per quello che riguarda iOS, la situazione è meno chiara perché il gruppo di studenti ha chiaramente fatto notare che esistono una serie di vulnerabilità (soprattutto su Scheme e Websocket), ma non è scesa nei dettagli sulle implicazioni possibili.

Apple è stata avvisata di questi problemi nell'ottobre del 2014 e, data a gravità della situazione, di nuovo a Novembre, ma l'azienda aveva già avvisato che le sarebbero serviti sei mesi per porre rimedio a queste falle. Di mesi, ormai, ne sono passati più di sette.

Nell'ultima versione di OSX, il problema sembra che sia stato risolto per quanto riguarda l'accesso di iCloud, ma le altre applicazioni sono ancora esposte, mostrando come Apple abbia "messo una pezza" alla gestione del proprio servizio in attesa di adottare misure migliori, lasciando il resto con ancora grandi margini di miglioramento.

Cosa implica per noi utenti questa serie di vulnerabilità?

Purtroppo niente di buono, ma ci possiamo fare poco. Di vulnerabilità sui nostri sistemi ne troveremo sempre e anche se questa è molto noiosa per la sua portata in quanto è stato visto che è possibile intercettare addirittura le password fornite da 1password, oltre ai token di servizi quali Pinterest o le note di Evernote, c'è sempre bisogno dell'installazione di un malware sul computer per poter far danni. Se si usano programmi fidati, non dovrebbero esserci grandi rischi.

Discorso diverso su iOS. Dal momento che per sfruttare questi bug non servono metodi speciali, è improbabile che il servizio di review possa intercettare app "malevole". Non a caso, gli studenti hanno dichiarato che diffonderanno ulteriori notizie e dei software dimostrativi solo più avanti nell'anno, quando probabilmente Apple riuscirà a trovare una soluzione.