MacBidouille

Des chercheurs en sécurité ont annoncé avoir découvert de nouvelles failles de sécurité permettant de contourner les protections de Gatekeeper. Pour rappel, ce système permet d'éviter l'installation de code non signé sous macOS.

Voici un exemple cité:

Pour mieux comprendre le fonctionnement de cet exploit, considérons le scénario suivant: un attaquant crée un fichier zip contenant un lien symbolique vers un nœud final de montage automatique qu’il / elle contrôle (ex Documents -> /net/evil.com/Documents) et l’envoie à la victime.

La victime télécharge l'archive malveillante, l'extrait et suit le lien symbolique.

À présent, la victime se trouve dans un emplacement contrôlé par l'attaquant mais approuvé par Gatekeeper. Ainsi, tout exécutable contrôlé par l'attaquant peut être exécuté sans aucun avertissement. La façon dont le Finder est conçu (ex. cacher les extensions .app, cacher le chemin complet depuis la barre de titre) rend cette technique très efficace et difficile à repérer.

Apple a été informé depuis le 22 février de ce problème, qui devait être réglé dans la dernière mise à jour macOS. Cela n'a pas été le cas en fin de compte.