Apple ha introdotto una nuova funzionalità di sicurezza nella versione macOS Tahoe 26.4 che rileva i comandi potenzialmente pericolosi incollati nel Terminale. Quando vengono identificati comandi di questo tipo, il sistema interrompe l'esecuzione e mostra un avviso all'utente prima che possa continuare. Questa modifica non era stata menzionata nelle note di rilascio ufficiali di Apple per macOS Tahoe 26.4 e gli utenti se ne sono accorti per la prima volta dopo che la build del candidato alla versione è stata resa disponibile.

La misura di sicurezza sembra essere rivolta agli utenti che vengono persuasi a incollare comandi malevoli nel Terminale, spesso sotto il pretesto di risolvere un problema o di verificare qualcosa, come nel caso degli attacchi ClickFix. Poiché l'utente deve incollare i comandi manualmente, le normali misure di sicurezza vengono spesso aggirate.

Come funziona l'avviso di incollaggio del Terminale in macOS Tahoe 26.4

Quando un utente copia un comando da Safari e lo incolla in Terminale, il sistema ritarda l'esecuzione e mostra un avviso. L'avviso informa gli utenti che il comando non è ancora stato eseguito e avverte che i truffatori distribuiscono spesso istruzioni malevole tramite siti web e altri canali.

Gli utenti hanno due opzioni: possono annullare l'incollaggio se non si fidano della fonte o non sono sicuri del comando, oppure possono continuare a eseguire il comando se lo riconoscono e vogliono eseguirlo. Apple consiglia agli utenti di continuare solo se comprendono cosa farà il comando.

Secondo i test degli utenti riportati su Reddit, l'avviso appare solo una volta per sessione del Terminale. In un test, l'incollaggio di comandi distruttivi noti utilizzati in attività malevole non ha attivato ulteriori avvisi dopo che il primo avviso è stato rifiutato. Un altro utente ha osservato che l'incollaggio di comandi innocui non ha attivato l'avviso; ciò suggerisce che è stata eseguita una sorta di analisi dei comandi, ma Apple non ha fornito una spiegazione chiara su come funziona il rilevamento.

Portata e limitazioni della nuova protezione per l'incollaggio del Terminale

Apple non ha pubblicato un documento di supporto che spieghi come funziona il sistema di avviso; ciò crea incertezze riguardo ai criteri di rilevamento utilizzati o ai modelli di comando che attivano gli avvisi. Inoltre, non è chiaro se il taglio venga applicato ai comandi incollati da fonti diverse da Safari o se le sessioni del Terminale avviate tramite automazione o script vengano controllate allo stesso modo.

Poiché il metodo di rilevamento non è stato spiegato, gli utenti non devono fare affidamento solo sull'avviso per proteggersi dagli attacchi ClickFix. I comandi provenienti da siti web non affidabili, email o chat di supporto non dovrebbero essere eseguiti, anche se appare un avviso. BleepingComputer ha contattato Apple per una spiegazione, ma attualmente l'azienda non ha fornito una risposta pubblica alle domande su questa funzionalità.