Microsoft ha rivelato una nuova funzionalità di sicurezza a maggio in arrivo su Windows 11, che consentirebbe l’esecuzione delle applicazioni Windows in ambienti sandbox isolati per una maggiore sicurezza. Ora sappiamo qualcosa in più su come funzionerà.
Microsoft ha dato il via all’anteprima pubblica per “l’isolamento delle app Win32”, che ha lo scopo di fornire un livello di protezione contro le vulnerabilità zero-day e altre potenziali funzionalità di sicurezza. Microsoft ha spiegato in un post sul blog: “L’isolamento delle app Win32 raggiunge il suo obiettivo di limitare l’impatto (nel caso in cui le app vengano compromesse) eseguendo app con privilegi bassi, che richiedono un attacco in più passaggi per uscire dal contenitore. Gli aggressori devono prendere di mira una specifica capacità o vulnerabilità, invece di avere un ampio accesso e poiché l’attacco deve essere diretto a una specifica vulnerabilità, le patch di mitigazione possono essere applicate rapidamente, riducendo la durata dell’attacco.
L’isolamento delle app è molto simile alle applicazioni Snap o Flatpak su desktop Linux e, in una certa misura, alla struttura delle autorizzazioni predefinita su macOS. Le applicazioni possono iniziare con alcune autorizzazioni quando vengono installate e possono richiederne altre se necessario. L’accesso alla fotocamera, al microfono, alla posizione, alle immagini, ai file e alle cartelle è bloccato senza l’autorizzazione dell’utente. Le app isolate hanno anche un accesso limitato al registro di Windows. Le app possono richiedere l’autorizzazione per file e cartelle specifici e, se l’utente concede l’accesso, i file vengono forniti tramite un file system in modalità sandbox chiamato Windows Brokering File System (BFS).
Sembra tutto fantastico, dal momento che ci sono molte app che non richiedono l’accesso completo al tuo PC e bloccarle da autorizzazioni non necessarie migliorerebbe sia la privacy che la sicurezza. Tuttavia, Microsoft ha chiarito che questo non sarà abilitato automaticamente per tutti i software. Questa è una misura opt-in che richiede alcune modifiche da parte dello sviluppatore dell’applicazione, a differenza delle app su macOS, che impongono un modello di autorizzazioni per l’accesso ai file e altre funzioni per tutto il software.
Microsoft ha creato indicatori migliori per le applicazioni che utilizzano dati sensibili, come la fotocamera e le icone di stato della VPN su Windows 11, ma sarebbe stato bello vedere l’isolamento delle app abilitato su tutta la linea. Ciò potrebbe semplicemente non essere possibile con l’attuale struttura di Windows, soprattutto quando mantenere la compatibilità con software vecchio di decenni è un requisito per i clienti aziendali.
Fonte: Blog di Windows
