du 04 juin 2019
Date

Choisir une autre édition

macOS victime d'une faille laissant passer les clics synthétiques sur les demandes d'autorisations

L’année dernière, Apple a introduit dans macOS Mojave un système d’autorisation équivalent à celui d’iOS. Une confirmation est ainsi réclamée pour tout accès par une application à des données personnelles, comme la géolocalisation, l’historique de navigation, les contacts, etc.

En théorie, seul l’utilisateur peut cliquer. Mais le chercheur Patrick Wardle a trouvé une faille dans le système permettant à des applications tierces d’avoir recours aux clics synthétiques, c’est-à-dire des clics invisibles et programmatiques, donc ne provenant pas d’une action manuelle et volontaire.

Ces clics sont normalement réservés aux applications approuvées tirant partie des fonctions d’accessibilité du système. C’est là que réside la faille : dans la manière dont Mojave vérifie l’intégrité d’une application avant approbation.

Dans une démonstration réalisée à la conférence Objective By the Sea de Monaca, Wardle a montré comment il pouvait introduire un malware dans VLC et quand même faire approuver l’application par Apple. Les demandes d’autorisations étaient alors automatiquement acceptées par des clics synthétiques.

Le chercheur précise cependant que ce scénario d’attaque est de « seconde phase ». Traduction, il faut déjà un accès à la machine, local ou distant, pour lancer l’attaque. La faille n’est donc pas critique puisqu’elle ne peut pas être exploitée automatiquement à distance.

Elle reste cependant importante. Apple a été informée de la vulnérabilité la semaine dernière, mais il ne semble pas pour l’instant y avoir eu de réponse.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Pour se démarquer, le fabricant affirme que son produit dispose « d'un champ de vision inédit, permettant aux utilisateurs d'obtenir une image plus grande et plus précise de leur pas de porte ».

Elle permet d'avoir « une vision en pied de leurs visiteurs et des paquets posés sur le sol ». En plus de la caméra, un micro et un haut-parleur sont présents pour une conversation bidirectionnelle avec les visiteurs. 

Arlo ajoute que sa sonnette « permet d'effectuer des appels vidéo directement vers les téléphones mobiles et de recevoir des alertes personnalisées lorsque des colis, des personnes, des véhicules ou des animaux sont détectés ».

Elle se connecte à un carillon mécanique ou électronique existant et sera disponible en 2020 en Europe. Reste maintenant à connaître son prix.

Copié dans le presse-papier !

Canonical a respecté les délais. Après la bêta fin septembre, la version finale vient d'être mise en ligne. On y retrouve évidemment le noyau Linux 5.3 (avec prise en charge des GPU Navi et des CPU Zhaoxin x86), GNOME 3.34, un nouveau thème Yaru GTK plus léger, le système de fichiers ZFS, etc. Les notes de versions sont disponibles par ici.

Parmi les autres changements, Ubuntu 19.10 n'a plus de version 32 bits, mais prend en charge le Raspberry Pi 4. Il ne s'agit pas d'une version LTS, le support est donc proposé pendant neuf mois, jusqu'en juillet 2020.

Copié dans le presse-papier !

Ben Cotton explique qu'en « raison de bugs bloquants et en l’absence de release candidate, Fedora 31 Finale a le statut "No-Go" ». L'équipe doit se réunir le 24 octobre prochain et espère publier la version finale de Fedora 31 le 29 octobre.

Pour rappel, la bêta est disponible depuis mi-septembre et, comme pour Ubuntu, il n'y a pas de version 32 bits.

Copié dans le presse-papier !

Au troisième trimestre, le fondeur revendique des revenus de 293,05 milliards de dollars taïwanais (environ 8,61 milliards d'euros), en hausse de 12,6 % sur un an et de 21,6 % sur trois mois.

Le bénéfice net est de 101,07 milliards de dollars taïwanais (environ 3,2 milliards d'euros), soit une augmentation de 13,5 % sur 12 mois et de 51,4 % par rapport au trimestre précédent.

Pour rappel, TSMC est actuellement sous le coup d'une plainte de GlobalFoundries qui demande à la justice américaine d'interdire l'importation de certains produits.

La société avait alors répliqué en demandant également à la justice de trois pays (États-Unis, Allemagne et Singapour) de stopper la production et d'interdire à la vente des produits GlobalFoundries.