Sécurité : GateKeeper peut être contourné "facilement" (ZIP et accès NFS)
Par Didier Pulicani - Publié le
GateKeeper est un outil mis en place par Apple dans macOS afin de limiter les accès des programmes et de prévenir l'utilisateur lorsque la
Commer d'autres avant lui, Filippo Cavallari est tout de même parvenu à contourner le système via un mécanisme astucieux -mais complexe- consistant à faire croire à votre machine que l'application distance est bien sécurisée. Pour cela, il utilise NFS et monte un disque réseau automatiquement sur votre Mac (grâce à automount). Par défaut, macOS considère en effet que les disques réseaux et locaux sont sécurisés, et n'applique alors aucune protection spéciale.
L'autre partie de la faille concerne les archives ZIP que macOS décompresse automatiquement. Ces dernières peuvent en effet contenir un lien symbolique vers une localisation distante, y compris celle créée par automount. Dans les faits, vous pouvez donc recevoir un fichier ZIP qui contient un lien vers un accès distant contrôlé par le pirate mais approuvé par GateKeeper.
Cavallarin a contacté Apple dès le 22 février dernier, et la firme était censée corriger le bug avec macOS 10.14.5 sorti la semaine dernière. Finalement, la faille est encore valide et Apple a arrêté de répondre aux e-mails de ce cher Filippo. Il faut dire que la technique utilise plusieurs paramètres de macOS qu'il est peut-être compliqué de sécuriser en quelques semaines seulement.
Via
sourcede son application n'est pas sûre. S'il est possible de le désactiver, il permet à tout un chacun d'éviter une grande partie des menaces logicielles.
Commer d'autres avant lui, Filippo Cavallari est tout de même parvenu à contourner le système via un mécanisme astucieux -mais complexe- consistant à faire croire à votre machine que l'application distance est bien sécurisée. Pour cela, il utilise NFS et monte un disque réseau automatiquement sur votre Mac (grâce à automount). Par défaut, macOS considère en effet que les disques réseaux et locaux sont sécurisés, et n'applique alors aucune protection spéciale.
L'autre partie de la faille concerne les archives ZIP que macOS décompresse automatiquement. Ces dernières peuvent en effet contenir un lien symbolique vers une localisation distante, y compris celle créée par automount. Dans les faits, vous pouvez donc recevoir un fichier ZIP qui contient un lien vers un accès distant contrôlé par le pirate mais approuvé par GateKeeper.
Cavallarin a contacté Apple dès le 22 février dernier, et la firme était censée corriger le bug avec macOS 10.14.5 sorti la semaine dernière. Finalement, la faille est encore valide et Apple a arrêté de répondre aux e-mails de ce cher Filippo. Il faut dire que la technique utilise plusieurs paramètres de macOS qu'il est peut-être compliqué de sécuriser en quelques semaines seulement.
Via
