Quando Craig Federighi, vicepresidente senior dell’ingegneria del software di Apple, dichiarava lo scorso anno che il livello di malware su Mac non era accettabile, non stava scherzando o esagerando. E oggi sembra che Apple stia facendo qualcosa al riguardo. Federighi ha anche spiegato che tra maggio 2020 e maggio 2021 Apple ha identificato 130 tipi di malware per Mac che hanno infettato 300.000 sistemi.

Data la reputazione di sicurezza dei computer Apple, può sembrare un dato poco credibile, ma mantenere una piattaforma sicura richiede una vigilanza costante. Sappiamo che negli ultimi anni Apple ha intensificato il monitoraggio della sua piattaforma. Non solo l’azienda di Cupertino è stata costretta a farlo poiché la sua quota di mercato in crescita rende le sue piattaforme obiettivi più interessanti e maggiormente presi di mira rispetto al passato, ma abbiamo anche sperimentato numerose attività di “sorveglianza come servizio” che hanno tentato di decifrare il codice di Apple per scopi nefasti e repressivi.

Non a caso lo scorso anno Apple ha citato in giudizio la controversa società di sorveglianza privata NSO Group. Quando è successo, Ivan Krstić, a capo dell’Apple Security Engineering and Architecture, aveva dichiarato: “I nostri team di intelligence e ingegnerizzazione lavorano 24 ore su 24 per analizzare nuove minacce, correggere rapidamente le vulnerabilità e sviluppare nuove protezioni per il nostro software i nostri SoC. Apple gestisce una delle operazioni di ingegneria della sicurezza più sofisticate al mondo e continueremo a lavorare instancabilmente per proteggere i nostri utenti da pericolosi attaccanti sponsorizzati dallo stato come NSO Group”.

Apple ha quindi apportato numerosi miglioramenti alla sicurezza delle sue piattaforme, incluso lavorare più a stretto contatto con le comunità di ricerca sulla sicurezza indipendenti rispetto a prima. Ciò sembra aver portato a una precedente identificazione e risoluzione di alcune delle vulnerabilità che potrebbero essere state utilizzate da questi eserciti privati di spie digitali.

La recente pubblicazione di una patch di sicurezza di emergenza per iOS 12 è un esempio calzante. Apple afferma che la vulnerabilità potrebbe essere stata “sfruttata attivamente”. È proprio questo tipo di vulnerabilità che viene sfruttato da queste società di sorveglianza, che sono disposte a pagare milioni di dollari per acquistare hack e attacchi. È proprio perché Apple ora conosce bene questi nemici che sta introducendo la modalità di blocco in iOS 16, una modalità ultra sicura per i suoi dispositivi che sacrifica un po’ di usabilità a favore di un’elevata sicurezza.

I Mac ottengono una protezione dai malware più intelligente

Ma Apple ha fatto anche un’altra cosa di cui pochi hanno parlato fino ad ora: sta rendendo i Mac ancora più attenti alla sicurezza, introducendo l’autodiagnosi automatizzata e il controllo del malware che forniscono un livello di protezione che la piattaforma non ha mai realmente avuto. “Negli ultimi sei mesi, la protezione da malware di macOS è cambiata più di quanto non sia cambiata negli ultimi sette anni”, ha spiegato Howard Oakley. “Ora macOS è diventato preventivo e attivo come molti prodotti anti-malware commerciali, a condizione che il vostro Mac esegua Catalina o versioni successive”.

iPadOS 16

La nuova protezione si basa apparentemente su un nuovo strumento/motore chiamato XProtect Remediator in macOS 12.3, che migliora la protezione antimalware XProtect esistente e offre la possibilità di eseguire la scansione e di correggere il malware rilevato. Le scansioni avvengono a intervalli frequenti durante il giorno e interessano trojan, adware, browser hijacker e altre minacce.

“Se un malware dovesse arrivare su un Mac, XProtect include anche la tecnologia per rimediare alle infezioni. Ad esempio, include un motore che corregge le infezioni in base agli aggiornamenti forniti automaticamente da Apple: inoltre, rimuove il malware dopo aver ricevuto informazioni aggiornate e continua a controllare periodicamente la presenza di infezioni”, si legge in una nota tecnica di Apple.

Questa protezione intelligente può essere facilmente aggiornata con nuove definizioni di malware. In sintesi, significa che Apple ha costruito un muro protettivo ancora più grande per proteggersi dai veleni che si nascondono fuori dal suo “giardino hardware”. Non possiamo sapere quanto impatto abbiano queste protezioni. In un certo senso, questo è il problema con la sicurezza in generale: il valore di un’armatura non è visibile fino a quando non interviene la protezione. Tuttavia, secondo Oakley questo tipo di protezione intelligente sul dispositivo rappresenta un grado di consapevolezza della sicurezza che oggi otterreste solo attraverso l’uso di servizi di sicurezza.

Il fatto che Apple sia pronta ad abbracciare questo tipo di protezione a livello di sistema probabilmente riflette comunque il riconoscimento della necessità di proteggere gli endpoint distribuiti al di fuori delle protezioni di sicurezza dei permessi standard, soprattutto in un nuovo mondo del lavoro come quello odierno caratterizzato da un ambiente di attacco sponsorizzato dallo stato.

Stiamo anche assistendo a mosse per rendere gli endpoint (i Mac, gli iPhone e gli iPad che utilizziamo ogni giorno) più attenti alla sicurezza in altre parti dell’ecosistema Apple. Basta pensare a strumenti come Managed Device Attestation, ai miglioramenti a Mac MDM, all’USB Restricted Mode e ad altri strumenti che si stanno facendo strada nelle varie piattaforme di Apple. Questi miglioramenti suggeriscono fino a che punto i team di sicurezza di Apple stanno identificando e tentando di bloccare i numerosi vettori di attacco utilizzati dai criminali moderni. L’unica vulnerabilità che rimane ancora scoperta, ovviamente, è l’errore umano, che rimane l’anello più debole a qualsiasi livello della catena.