macOS
Un computer può essere infettato da un malware semplicemente elaborando una foto, in particolare se quel computer è un Mac, che molti credono ancora (sbagliando) essere intrinsecamente resistente ai malware? A quanto pare, la risposta è sì, se si utilizza una versione vulnerabile di ExifTool o una delle tante app basate su di essa. ExifTool è una soluzione open source onnipresente per la lettura, la scrittura e la modifica dei metadati delle immagini. È lo strumento ideale per fotografi e archivisti digitali ed è ampiamente utilizzato nell’analisi dei dati, nella digital forensics e nel giornalismo investigativo.
I nostri esperti GReAT hanno scoperto una vulnerabilità critica, tracciata come CVE-2026-3102, che viene attivata durante l’elaborazione di file di immagine dannosi contenenti comandi della shell incorporati nei relativi metadati. Quando una versione vulnerabile di ExifTool in macOS elabora un file di questo tipo, il comando viene eseguito. Ciò consente all’autore di una minaccia di eseguire azioni non autorizzate nel sistema, ad esempio il download e l’esecuzione di un carico utile da un server remoto. In questo post illustreremo come funziona questo exploit, forniremo consigli per la difesa attuabili e spiegheremo come verificare se il sistema è vulnerabile.
Cos’è lo spyware?
ExifTool è un’applicazione open source gratuita che soddisfa un requisito critico ma di nicchia: estrae i metadati dai file e consente l’elaborazione sia dei dati che dei file stessi. I metadati sono le informazioni integrate nella maggior parte dei formati di file moderni che descrivono o integrano il contenuto principale di un file. Ad esempio, in un brano musicale i metadati includono il nome dell’artista, il titolo del brano, il genere, l’anno di uscita, la copertina dell’album e così via. Per le fotografie, i metadati sono generalmente coerenti con la data e l’ora dello scatto, le coordinate GPS, le impostazioni ISO e il tempo di posa, nonché la marca e il modello della fotocamera. Anche i documenti di Office archiviano i metadati, come il nome dell’autore, il tempo totale di modifica e la data di creazione originale.
ExifTool è il leader del settore in termini di volume di formati di file supportati, nonché di profondità, accuratezza e versatilità delle sue capacità di elaborazione. Tra gli scenari di utilizzo comuni sono inclusi:
- Regolazione delle date se registrate in modo errato nei file sorgente
- Spostamento dei metadati tra diversi formati di file (da JPG a PNG e così via)
- Estrazione di anteprime da formati RAW professionali (ad esempio 3FR, ARW o CR3)
- Recupero dati da formati di nicchia, comprese le immagini termiche FLIR, le foto in campo luminoso LYTRO e l’imaging medicale DICOM
- Ridenominazione dei file di foto/video (e così via) in base all’ora dello scatto effettivo e sincronizzazione di conseguenza dell’ora e della data di creazione del file
- Incorporamento delle coordinate GPS in un file sincronizzandolo con un registro della traccia GPS archiviato separatamente o aggiungendo il nome dell’area popolata più vicina
L’elenco potrebbe continuare all’infinito. ExifTool è disponibile sia come applicazione da riga di comando indipendente che come libreria open-source, il che significa che il suo codice spesso viene eseguito sotto strumenti potenti e multiuso; esempi includono sistemi di organizzazione delle foto come Exif Photoworker e MetaScope o strumenti di automazione dell’elaborazione delle immagini come ImageIngester. Nelle grandi biblioteche digitali, nelle case editrici e nelle aziende di analisi delle immagini, ExifTool viene spesso utilizzato in modalità automatizzata, attivata da applicazioni aziendali interne e script personalizzati.
Come funziona CVE-2026-3102
Per sfruttare questa vulnerabilità, un utente malintenzionato deve creare un file immagine in un determinato modo. Sebbene l’immagine stessa possa essere qualsiasi cosa, l’exploit risiede nei metadati, in particolare nel campo DateTimeOriginal (data e ora di creazione), che deve essere registrato in un formato non valido. Oltre alla data e all’ora, questo contenitore deve contenere comandi shell dannosi. A causa del modo specifico in cui ExifTool gestisce i dati in macOS, questi comandi verranno eseguiti solo se vengono soddisfatte due condizioni:
- L’applicazione o la libreria è in esecuzione in macOS
- Il flag -n (o –printConv) è abilitato. Questa modalità genera dati leggibili dal computer senza elaborazioni aggiuntive, così come sono. Ad esempio, in modalità -n, i dati di orientamento della fotocamera vengono emessi in modo semplice, inspiegabilmente, come “sei”, mentre con un’elaborazione aggiuntiva diventano i più leggibili “Ruotati 90 CW”. Questa “leggibilità umana” impedisce lo sfruttamento della vulnerabilità
Uno scenario raro ma non fantastico per un attacco mirato sarebbe il seguente: un laboratorio forense, una redazione di contenuti multimediali o una grande organizzazione che elabora documentazione legale o medica riceve un documento digitale di interesse. Può trattarsi di una foto sensazionale o di un’azione legale: l’esca dipende dal tipo di lavoro della vittima. Tutti i file che entrano in azienda sono sottoposti a smistamento e catalogazione tramite un sistema di gestione delle risorse digitali (DAM). Nelle grandi aziende, questo può essere automatizzato; privati e piccole aziende eseguono manualmente il software richiesto. In entrambi i casi, la libreria ExifTool deve essere utilizzata nell’ambito di questo software. Durante l’elaborazione della data della foto dannosa, il computer in cui si verifica l’elaborazione viene infettato da un Trojan o da un infostealer, che è successivamente in grado di rubare tutti i dati preziosi archiviati nel dispositivo attaccato. Nel frattempo, la vittima potrebbe facilmente non notare nulla, poiché l’attacco sfrutta i metadati dell’immagine mentre l’immagine stessa potrebbe essere innocua, del tutto appropriata e utile.
Come proteggersi dalla vulnerabilità di ExifTool
I ricercatori di GReAT hanno segnalato la vulnerabilità all’autore di ExifTool, che ha prontamente rilasciato la versione 13.50, che non è soggetta a CVE-2026-3102. È necessario aggiornare le versioni 13.49 e precedenti per correggere il difetto.
È fondamentale assicurarsi che tutti i flussi di lavoro di elaborazione delle foto utilizzino la versione aggiornata. È necessario verificare che tutte le piattaforme di gestione delle risorse, le app di organizzazione delle foto e gli script di elaborazione in blocco delle immagini in esecuzione nei Mac richiamino ExifTool versione 13.50 o successiva e non contengano un contenitore incorporato precedente della libreria ExifTool.
Naturalmente, ExifTool, come qualsiasi software, può contenere vulnerabilità aggiuntive di questa classe. Per potenziare le difese, è inoltre consigliabile:
- Isolare l’elaborazione dei file non attendibili. Elaborare immagini da fonti discutibili in un computer dedicato o in un ambiente virtuale, limitando rigorosamente l’accesso ad altri computer, all’archivio dati e alle risorse di rete.
- Monitorare continuamente le vulnerabilità lungo la supply chain del software. Le organizzazioni che si basano su componenti open source nei propri flussi di lavoro possono utilizzare Open Source Software Threats Data Feed per il tracciamento.
Infine, se lavori con liberi professionisti o appaltatori indipendenti (o semplicemente consenti il BYOD), consenti loro di accedere alla rete solo se dispongono di una soluzione di protezione completa macOSsoluzione di protezione completa macOS [/placeholder] installata.
Pensi ancora macOS sia sicuro? Allora leggi queste minacce che colpiscono i Mac:
• Banshee: uno stealer che prende di mira gli utenti macOS
• I Mac sono sicuri? Minacce per gli utenti macOS
• L’infostealer è entrato nella chat
• AirBorne: attacchi ai dispositivi Apple tramite vulnerabilità in AirPlay
• Violazione dei dispositivi Android, macOS, iOS e Linux tramite una vulnerabilità Bluetooth
Consigli