Sempre più Mac colpiti da hacker con il blocco firmware: ecco come risolvere

Leggi questo articolo grazie alle donazioni di Andrea Magnoli, Matteo Nascimben, Michele Castelli, Maurizio Martinetti, Antonio Chiumiento, Alessandro Gambogi, Angelo Palmisano.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Si potrebbe pensare che i tanti anni passati a fare formazione ed informazione sull’hardware ed i software di Apple ci abbiamo portato ad avere un dialogo più o meno diretto con l’azienda o i suoi rappresentanti, ma non è affatto così. I rappresentati Apple locali sembrano far finta che non esistiamo mentre moltissimi dei loro dipendenti ci seguono e ci fanno i loro complimenti per il nostro lavoro, sia in Italia che all’estero. Ne conosciamo tanti e capita anche che altri ancora portino alla nostra attenzione dei dettagli riservati in forma anonima, quando questi sono di aiuto agli utenti. Il caso che vi illustro oggi rientra proprio nella seconda categoria, per cui non potrò dettagliare la natura la fonte, ma ho ottenuto ben tre riscontri prima di decidere per la pubblicazione. Il problema riguarda un servizio che l’azienda offre in caso di furto o smarrimento e grazie al quale un accesso al sito Apple con il proprio ID consente di bloccare la macchina in remoto impostando una password sul firmware. Questo tool apparentemente utile per la nostra sicurezza si può però trasformare in un potente strumento nelle mani di un malintenzionato. Il fenomeno è già noto da qualche tempo ma la sua escalation non accenna a rientrare, anche a causa del mancato intervento ufficiale di Cupertino. Va detto che è impossibile portare a termine questo attacco se abbiamo impostato l’autenticazione in due fattori, poiché sarebbe necessario avere accesso diretto anche ad uno dei nostri terminali, ma questa non è ancora obbligatoria. Attualmente fa parte della procedura di attivazione di un nuovo dispositivo e sono sempre di più quelli che la adoperano, ma non è abbastanza.

apple-autenticazione-due-fattori

Preferenze di Sistema / iCloud / Dettagli account / Sicurezza

L’elemento di rischio

Trovare la password di un Apple ID per un malintenzionato può essere anche una cosa relativamente semplice, tutto dipende dalle sue capacità e dalla nostra attenzione. Le persone che usano password come “1234” e simili sono sempre di meno, sia perché i pericoli derivanti da una tale leggerezza iniziano a diventare di dominio pubblico, sia perché i siti ormai richiedono almeno un numero, un carattere maiuscolo/minuscolo e magari un simbolo. Tutto ciò però non è sufficiente, poiché i meno attenti riescono comunque ad essere prevedibili. Uno degli errori più comuni è quello di adoperare la stessa password su diversi servizi, perché basta che il più scalcinato di questi venga hackerato raccogliendo gli accessi ed ecco che si rendono vulnerabili anche gli altri. L’altro grave errore che si tende a fare è quello di non rendersi conto di quanto la nostra vita sia ormai di dominio pubblico. A meno di non essere davvero molto riservati e meticolosi, tenendosi al lontano dai social, è facile scoprire come si chiamano i nostri figli, gli animali domestici o la squadra del cuore, ed è da queste cose che troppo spesso traiamo ispirazione per creare le password. I villain sono sempre in agguato e non è necessario che prendano di mira specificatamente noi per rimanere vittima delle loro malfatte. Sempre più spesso si utilizzano sistemi automatizzati per recuperare informazioni e tentare attacchi su larga scala, per cui non si deve essere particolarmente in vista o possedere dati di grande valore per diventare dei bersagli. Se ancora non lo avete fatto, dunque, andate subito ad attivare l’autenticazione in due fattori e verificate quali password è opportuno rinfrescare.

v

Un tool di sicurezza che diventa un ransomware

Garantendosi l’accesso al sito Apple di un account senza autenticazione in due fattori, si può facilmente bloccare un dispositivo con la modalità smarrito. La procedura andrà ad impostare una password sul firmware nel caso dei Mac e sarà impossibile accedervi. Se l’operazione viene compiuta da un malintenzionato, questo potrà richiedere un riscatto per fornici la password che solo lui conosce. In pratica il tool di sicurezza viene così trasformato in una sorta di ransomware ufficiale. I più esperti potrebbero tentare il reset SMC / NVRAM / PRAM, l’avvio in modalità utente singolo o verbose mode, magari anche tramite il boot da Hard Disk esterno, ma nulla di tutto questo sarà possibile. Il passaggio successivo, di norma, è quello di contattare la persona più esperta che si conosce o direttamente Apple. Il fatto è che anche uno come me può far poco in questi casi e persino i tecnici ufficiali avranno probabilmente bisogno di un intervento dall’alto per risolvere la situazione. Il primo scoglio da superare però è un altro perché Apple stessa si mette praticamente contro di noi. Le più aggiornate linee guida in questi casi impongono all’utente di esporre una ricevuta o fattura originale che attesti la proprietà del bene. In linea di principio si potrebbe considerare come una richiesta legittima a salvaguardia di tutti, ma non è sempre così. Se il sistema fosse utilizzato nel modo previsto allora sarebbe rassicurante sapere che chi ha rubato il nostro computer non possa farselo sbloccare da Apple, ma se questo viene usato contro di noi?

smarrito-prova-acquiso

Apple conosce bene la situazione che è persino diventata uno degli argomenti più gettonati durante la formazione dei tecnici, ma non si è ancora esposta pubblicamente. Nel frattempo si moltiplicano gli utenti vittime del sistema e che non riescono a fornire prove d’acquisto valide. Ci sono in giro tantissimi MacBook o iMac 2010 o successivi che funzionano ancora benone, specie quelli in cui si sia aggiunto un SSD, e dopo 7 anni sono pochi quelli che continuano ad avere la ricevuta a portata di mano, non si può richiedere una cosa del genere. Io digitalizzo tutto da tantissimo tempo e qualsiasi scontrino utile ai fini di garanzia lo fotografo con l’iPhone e lo metto in una cartella su Dropbox, pratica che consiglio a tutti, ma quante altre persone sono così attente e da così tanto tempo? Qui si possono anche superare i canonici 5 anni di conservazione fiscale, per cui è davvero un territorio spinoso. Per di più Apple potrebbe benissimo verificare la nostra identità con i documenti ed accertare la proprietà legittima del Mac, per cui un comportamento così poco flessibile finisce per danneggiare i propri clienti. Inutile dire che molti di questi sono giustamente adirati.

Le soluzioni

In alcuni casi il problema si può comunque risolvere a casa e in modo piuttosto facile. L’UEFI dei Mac viene infatti resettato nel momento in cui viene rilevata una modifica all’hardware principale, per cui è sufficiente rimuovere o aggiungere un banco RAM per azzerare anche la password e riavere accesso al computer. Tuttavia questa viene ormai saldata in quasi tutti i computer, per cui è una pratica che si può attuare solo in alcuni casi. Negli altri sarà necessario rivolgersi ad un centro di riparazione autorizzato ed essere in possesso della suddetta prova d’acquisto. Non c’è un intervento documentato in queste situazioni, infatti il costo può variare da 39€ a 79€ in base alle mie ricerche, ma la cosa più grave rimane la necessità della ricevuta originale. La soluzione a cui molti si sono visti costretti è stata quella di falsificare la fattura o lo scontrino con Photoshop, che non è una cosa bella e non è ovviamente legale, ma è impensabile che si possa buttare un computer perché Apple ci richiede un documento che nemmeno a livello fiscale potremmo essere obbligati ad avere. Inoltre anche un privato tende giustamente ad avere meno interesse nel conservare una prova d’acquisto superati i termini di garanzia. Ipotizzando di riuscire a presentare ai tecnici un documento che attesti la proprietà del Mac, questi avranno comunque bisogno di un intervento dall’alto per sbloccare il computer. Attraverso la combinazione di tasti ⇧⌃⌘⌥S si ottiene una chiave che andrà fornita alla sede la quale genererà un file binario da mettere su una pendrive e che sarà in grado di fornire un accesso all’UEFI da cui risolvere il problema. La procedura è più o meno quella che viene descritta in questa pagina e non è certamente alla portata di tutti, ma ci consentirà di riavere finalmente accesso al nostro Mac invece di buttarlo in una discarica.

Note conclusive

L’argomento qui esposto è molto delicato e alcuni passaggi sono stati volontariamente semplificati per facilitarne la comprensione. Ci sono anche dei risvolti legali importanti che ho deciso di mantenere in secondo piano, in parte perché non è il mio settore di competenza in parte perché il mio obiettivo è quello di fornire quante più informazioni utili a risolvere il problema e non a pontificare su cosa sia giusto o sbagliato. Mi permetto però di dire che Apple dovrebbe prendere una posizione pubblica sull’argomento nell’interesse di tutti, perché nei grossi centri assistenza si ricevono dalle 3 alle 5 richieste di intervento per questo problema ogni singolo giorno. Non è una questione sulla quale si può più soprassedere e l’eccesso di rigidità si sta rivoltando contro i propri utenti invece che tutelarli.

Un sentito ringraziamento va a tutti i tecnici Apple noti e anonimi che da anni ci aiutano a fare informazione fornendoci dettagli utili per risolvere i problemi degli utenti.

Maurizio Natali

Titolare e caporedattore di SaggiaMente, è "in rete" da quando ancora non c'era, con un BBS nell'era dei dinosauri informatici. Nel 2009 ha creato questo sito nel tempo libero, ma ora richiede più tempo di quanto ne abbia da offrire. Profondo sostenitore delle giornate di 36 ore, influencer di sé stesso e guru nella pausa pranzo, da anni si abbronza solo con la luce del monitor. Fotografo e videografo per lavoro e passione.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.