Un nouvelle faille de sécurité trouvée dans la protection de la vie privée de macOS Mojave

Protection de la vie privée

Depuis qu’Apple a annoncé une protection de la vie privée renforcée dans macOS Mojave 10.14 en septembre dernier, une équipe de chercheurs dédiée l’a décortiquée, à la recherche d’éventuelles failles de sécurité.

protection de la vie privee

Malheureusement pour Apple, le défi n’a pas été difficile à relever puisque dès le premier jour, un chercheur a signalé un contournement surprenant de la protection de la vie privée en utilisant une application ordinaire (c’est-à-dire sans autorisation de type admin) pour accéder au carnet d’adresses.

Accessibles via Préférences Système> Sécurité et confidentialité> Confidentialité, d’autres contournements signalés ont suivi peu après, tous apparemment traités par des mises à jour de Mojave.

La semaine dernière, alors qu’il semblait qu’Apple avait pu régler le problème, le développeur de l’extension de navigateur StopTheMadness, Jeff Johnson, a annoncé un nouveau problème concernant toutes les versions de Mojave, y compris la mise à jour supplémentaire 10.14.3 publiée quelques jours auparavant.

Selon Johnson, il aurait découvert un moyen d’accéder à ~/Library/Safari sans demander l’autorisation du système ou de l’utilisateur. Ce répertoire ne devrait être accessible que via des applications privilégiées, telles que le Finder macOS.

Il n’y a eu aucune boite de dialogue d’autorisation. De cette manière, une application malveillante pourrait violer secrètement la vie privée d’un utilisateur en examinant son historique de navigation web.  

Le seul inconvénient était que le contournement ne fonctionnait pas pour les applications en mode sandbox et s’appliquait à celles qui fonctionnaient en dehors de cette application en tant qu’application authentifiée (c’est-à-dire celles qui étaient signées par un ID de développeur et qui avaient passé les contrôles automatisés de détection des malwares d’Apple).

Dans une interview ultérieure donnée à Bleeping Computer, Johnson a déclaré qu’il avait découvert ce problème alors qu’il travaillait sur sa propre extension Safari via une API non spécifiée :

Ainsi, le contournement n’a rien de complexe, il nécessite simplement des connaissances de développeur Mac.  

Pas seulement iOS

Le problème d’Apple pour faire fonctionner cette fonctionnalité est qu’il tente de concilier deux contraintes qui, sur iOS, semblent faciles à comparer : canaliser l’accès des applications vers des dossiers sensibles (notamment Mail, Messages, Cookies et Suggestions) via une couche d’autorisation et ce sans que cela ne devienne un cauchemar !

Il doit également éviter de poser des problèmes aux anciennes applications construites à une époque où le droit du logiciel d’accéder aux informations qu’il souhaitait était considéré comme acquis.

Apple est-il près à résoudre ces problèmes ? Le souci est que le problème ne cesse de s’aggraver à chaque fois qu’on l’observe sans agir !

Par exemple, il semble de notoriété publique que la protection de la vie privée ne parvient pas à empêcher quiconque de la contourner à l’aide de Secure Shell vers localhost (avec la connexion à distance activée).

Ou peut-être en utilisant une attaque de type “denial-of-patience” dans laquelle une application malveillante appelle continuellement tccutil pour réinitialiser les paramètres de vie privée jusqu’à ce que l’utilisateur abandonne sous un déluge de boites de dialogue de consentement.

Johnson a déclaré qu’il avait signalé sa découverte à Apple, signifiant ainsi qu’une future mise à jour de Mojave devrait corriger ce contournement.

Apple était déjà bien occupé à résoudre d’autres problèmes de sécurité, tels que la faille KeySteal, qui pouvait permettre à un attaquant d’accéder aux mots de passe du gestionnaire de mots de passe KeyChain !


Billet inspiré de Another flaw found in macOS Mojave’s privacy protection, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.