du 04 juin 2019
Date

Choisir une autre édition

macOS victime d'une faille laissant passer les clics synthétiques sur les demandes d'autorisations

L’année dernière, Apple a introduit dans macOS Mojave un système d’autorisation équivalent à celui d’iOS. Une confirmation est ainsi réclamée pour tout accès par une application à des données personnelles, comme la géolocalisation, l’historique de navigation, les contacts, etc.

En théorie, seul l’utilisateur peut cliquer. Mais le chercheur Patrick Wardle a trouvé une faille dans le système permettant à des applications tierces d’avoir recours aux clics synthétiques, c’est-à-dire des clics invisibles et programmatiques, donc ne provenant pas d’une action manuelle et volontaire.

Ces clics sont normalement réservés aux applications approuvées tirant partie des fonctions d’accessibilité du système. C’est là que réside la faille : dans la manière dont Mojave vérifie l’intégrité d’une application avant approbation.

Dans une démonstration réalisée à la conférence Objective By the Sea de Monaca, Wardle a montré comment il pouvait introduire un malware dans VLC et quand même faire approuver l’application par Apple. Les demandes d’autorisations étaient alors automatiquement acceptées par des clics synthétiques.

Le chercheur précise cependant que ce scénario d’attaque est de « seconde phase ». Traduction, il faut déjà un accès à la machine, local ou distant, pour lancer l’attaque. La faille n’est donc pas critique puisqu’elle ne peut pas être exploitée automatiquement à distance.

Elle reste cependant importante. Apple a été informée de la vulnérabilité la semaine dernière, mais il ne semble pas pour l’instant y avoir eu de réponse.

chargement Chargement des commentaires...