Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Certificato OpenAI revocato su macOS: supply chain Axios compromessa, vecchie app bloccate e stop aggiornamenti dall’8 maggio 2026
OpenAI ha revocato il certificato di firma delle app macOS dopo aver individuato un rischio legato a un incidente di supply chain che ha coinvolto Axios, una delle librerie più usate per le richieste HTTP. Il punto critico non è stato un attacco diretto ai sistemi interni, ma il fatto che un workflow di GitHub Actions impiegato nel processo di firma e notarizzazione delle applicazioni macOS abbia scaricato ed eseguito una versione compromessa di Axios in data 31 marzo 2026.
Secondo quanto comunicato, non risultano prove di accesso a dati degli utenti, compromissione di sistemi o furto di proprietà intellettuale, né alterazioni del software distribuito. Tuttavia, per prudenza, l’azienda ha deciso di trattare il certificato come potenzialmente compromesso. Questo passaggio è importante in ottica sicurezza macOS, perché un certificato di firma può essere abusato da attori malevoli per firmare codice dannoso e farlo apparire come software legittimo, aumentando le probabilità di esecuzione da parte degli utenti.
Il workflow in questione aveva accesso a materiali sensibili usati per firmare diverse app desktop, tra cui ChatGPT Desktop, Codex, Codex CLI e Atlas. Anche se l’analisi interna suggerisce che l’esfiltrazione del certificato potrebbe non essere riuscita grazie a fattori di timing, sequenza del job e mitigazioni presenti, la scelta è stata quella di revocare e ruotare il certificato.
L’impatto pratico per gli utenti macOS è rilevante. Le versioni precedenti delle app firmate con il vecchio certificato verranno bloccate dalle protezioni di sicurezza di macOS per impostazione predefinita, con effetti su download e avvio. Inoltre, a partire dall’8 maggio 2026, le vecchie versioni non riceveranno più aggiornamenti o supporto. Per ridurre i disagi, è stato previsto un periodo di circa 30 giorni per consentire l’aggiornamento alle release firmate con il nuovo certificato.
Versioni indicate con nuovo certificato
- ChatGPT Desktop: 1.2026.071
- Codex App: 26.406.40811
- Codex CLI: 0.119.0
- Atlas: 1.2026.84.2
Sul fronte della remediation, la collaborazione con Apple mira anche a impedire nuove notarizzazioni di software firmato con il certificato precedente, così da ridurre ulteriormente la superficie di abuso nel contesto della supply chain software.