Copiare un comando da un sito e incollarlo nel Terminale sembra un gesto banale, eppure è diventato uno dei trucchi più sfruttati dalle truffe informatiche degli ultimi anni. Apple ha deciso di metterci mano davvero, introducendo con macOS 26.4 una protezione pensata proprio per fermare questo tipo di rischio. E lo ha fatto pubblicando un documento di supporto ufficiale, arrivato dopo settimane di domande da parte degli utenti che si chiedevano cosa stesse succedendo. L’obiettivo è chiaro: bloccare o segnalare comandi potenzialmente pericolosi prima che vengano eseguiti, contrastando una tecnica che non sfrutta falle nel software ma punta dritta al comportamento umano sbagliato.
Come funziona il blocco e quando scatta
Il meccanismo entra in azione soprattutto quando il sistema si accorge che l’utente non usa abitualmente il Terminale e sta cercando di incollare un comando copiato da fonti considerate rischiose. Parliamo di siti web, chatbot, email, app di messaggistica. In questi casi compare un messaggio che parla di un possibile malware e del blocco del comando. Attenzione però: non significa che il dispositivo sia già stato compromesso, l’operazione viene semplicemente intercettata prima dell’esecuzione. L’utente, volendo, può comunque andare avanti, prendendosi la responsabilità di quello che fa.
Apple distingue due livelli di protezione. Il primo è un avviso preventivo, una specie di controllo in più che lascia comunque libertà di scelta. Il secondo scatta quando macOS riconosce codice legato a minacce già note, e qui non c’è verso di ignorare il blocco. Per i falsi positivi, invece, l’azienda ha messo a disposizione canali ufficiali per segnalare eventuali problemi.
Perché questo attacco funziona così bene
Un comando lanciato nel Terminale può fare parecchie cose: operare con privilegi elevati, scaricare componenti esterni, installare processi che restano attivi nel tempo o modificare le configurazioni di sistema. Chi non ha dimestichezza con la riga di comando fatica spesso a capire se un’istruzione è legittima oppure no, e le campagne di phishing sfruttano esattamente questa debolezza. Ci si è abituati, complice anche la marea di guide online, a installare programmi con una singola riga di codice senza nemmeno controllare cosa contenga.
La protezione sembra pensata soprattutto per chi è meno esperto o usa di rado gli strumenti di amministrazione. Per chi invece lavora ogni giorno con shell e script, l’impatto dovrebbe essere contenuto. La documentazione Apple chiarisce che il sistema tiene conto delle abitudini dell’utente e non applica gli stessi controlli a ogni singola operazione nel Terminale.
Una difesa che guarda al comportamento, non solo ai file
La novità di macOS 26.4 è un buon esempio di come si stanno evolvendo le difese moderne. Invece di limitarsi a riconoscere file dannosi, il sistema analizza il contesto in cui un’azione avviene. Copiare un comando da una pagina web e incollarlo nel Terminale è uno schema che torna spessissimo nelle campagne malevole, e Apple ha scelto di trattarlo proprio per quello che è.
L’approccio sposta l’attenzione: non più solo l’individuazione del malware, ma meccanismi capaci di fermare comportamenti rischiosi prima che facciano danni sul dispositivo. Gli errori umani restano tra le cause principali di compromissione dei sistemi, e questa protezione lavora esattamente per ridurli.