Negli ultimi mesi gli specialisti di sicurezza hanno osservato una crescita degli attacchi noti come ClickFix, tecniche che sfruttano l’ingegneria sociale per indurre l’utente a incollare comandi pericolosi. Secondo i report di Malwarebytes, la tattica — nata per piattaforme Windows — si è estesa anche ai Mac e può aggirare le consuete difese se la vittima esegue senza riflettere un comando suggerito da siti o chat.
Per limitare il rischio, Apple ha introdotto in macOS Tahoe 26.4 un meccanismo di avviso che interviene quando un utente tenta di incollare un comando nel terminal. La funzione, resa disponibile dallo scorso 24 marzo, segnala il possibile pericolo e spinge l’utente a valutare le conseguenze prima di procedere: una misura che integra ma non sostituisce le buone pratiche di sicurezza.
Che cos’è ClickFix e come si evolve
ClickFix è, in estrema sintesi, una forma di truffa basata sulle azioni dell’utente: l’attaccante convince la vittima a copiare e incollare un testo che eseguirà comandi sul sistema. Su Windows la finestra Esegui veniva sfruttata per questo scopo; lo stesso principio applicato ai Mac implica l’uso del terminal per ottenere l’esecuzione di istruzioni malevole o la disattivazione di protezioni.
Dall’attacco su Windows alla variante per macOS
Nel passaggio ai Mac gli aggressori hanno modificato il messaggio e il contesto: al posto di una falsa procedura di ripristino possono offrire un presunto controllo umano (simile a un CAPTCHA) o la soluzione a un guasto software, invitando l’utente a incollare un comando nel Terminale.
Il rischio reale varia: alcuni comandi possono installare malware, altri compromettere la privacy o alterare impostazioni di sistema; come esempio estremo viene spesso citato sudo rm -rf /, che cancella il filesystem se eseguito con privilegi adeguati.
La nuova protezione di Apple in macOS Tahoe 26.4
La difesa introdotta in macOS Tahoe 26.4 non esce nelle note di rilascio ufficiali con dettagli tecnici ma è già visibile agli utenti: quando Safari rileva che un testo copiato potrebbe essere un comando pericoloso, mostra un avviso e blocca l’incolla nel Terminale per evitare esecuzioni involontarie. Il messaggio spiega che i truffatori incoraggiano questa operazione per danneggiare il Mac o rubare dati, e lascia all’utente la scelta consapevole di procedere.
Come si comporta e quali sono i limiti
Osservazioni della comunità indicano che l’avviso compare principalmente quando il testo viene copiato da un sito aperto in Safari e che è mostrato una volta per sessione. Apple non ha documentato il meccanismo: alcuni analisti ritengono che ci sia un’analisi del contenuto basata su intelligenza artificiale, il che spiegherebbe il supporto limitato a Safari e l’assenza di segnalazione automatica per altri comandi notoriamente pericolosi come sudo rm -rf /.
Cosa possono fare gli utenti
Le raccomandazioni degli esperti di Malwarebytes sono chiare: evitare di copiare e incollare qualsiasi stringa di testo in un Terminale se la fonte non è provata. L’avviso di Apple è un ulteriore livello di protezione, ma non elimina la necessità di comportamenti prudenti: verificare l’autenticità del sito, confrontare il comando con fonti affidabili e preferire l’immissione manuale quando possibile sono azioni fondamentali per ridurre il rischio.
Consigli pratici per proteggere il Mac
Per aumentare la sicurezza, aggiornare regolarmente il sistema e le applicazioni, utilizzare soluzioni di protezione che monitorano attività sospette e disabilitare l’esecuzione automatica di script quando non necessari. È utile applicare l’abitudine della verifica della fonte: se un suggerimento arriva da un forum o da una chat informalmente, meglio non copiarlo. In caso di dubbi, consultare documentazione ufficiale o professionisti prima di eseguire comandi con privilegi elevati.
