La caméra et le micro de macOS d'Apple en danger, avertit un chercheur

Les logiciels malveillants Mac utilisent la caméra et le micro intégrés pour espionner secrètement

Patrick Wardle, directeur de la recherche chez Synack, a démontré comment les logiciels malveillants pouvaient facilement « s’accrocher » aux sessions vidéo et audio légitimes initiées par l’utilisateur en accédant à la webcam et au microphone d’un appareil macOS tout en gardant son activité d’espionnage cachée.

Les logiciels malveillants dotés de cette compétence doivent être capables de détecter une session de webcam initiée par l’utilisateur, de commencer leur propre enregistrement et de le terminer dès que la session légitime est terminée, afin que la caméra et l’indicateur LED matériel puissent s’éteindre.

Chaque MacBook qu’Apple a expédié depuis plus d’une décennie est équipé d’une caméra et d’un microphone intégrés. Il y a une lumière LED sur un MacBook qui indique quand la caméra de l’appareil est active. Selon l’analyse de Wardle, la sécurité matérielle pour désactiver l’indicateur LED est très forte. Cependant, il existe des applications légitimes qui peuvent accéder à une webcam lorsque l’utilisateur s’attend à ce que la lumière LED s’allume.

Wardle voulait déterminer, en utilisant une application non autorisée pour suivre et enregistrer un utilisateur de macOS à son insu, s’il était possible de s’accrocher à l’utilisation légitime de la caméra. Il s’avère que la webcam est une ressource partagée dans macOS, ce qui signifie que les utilisateurs pourraient éventuellement utiliser à la fois FaceTime et Skype en vidéo simultanément, s’ils le souhaitent.

« En gros, tout ce que fait le logiciel malveillant, c’est qu’il surveille un système macOS à la recherche d’une session de webcam légitime », a déclaré Wardle. « Le logiciel malveillant peut alors accéder à la webcam et commencer à enregistrer l’utilisateur local. »

Cependant, il y a quelques limitations au scénario d’attaque de Wardle. Tout d’abord, l’utilisateur de macOS doit être infecté par un logiciel malveillant provenant d’une source quelconque pour permettre l’utilisation non autorisée de la caméra. Il y a eu des exemples d’applications macOS légitimes qui ont été compromises d’une manière ou d’une autre pour devenir des logiciels malveillants, a noté Wardle. Cela dit, les chances d’une infection par un logiciel malveillant sont relativement minces, seulement si un utilisateur a téléchargé des applications signées depuis l’App Store macOS d’Apple.

« Il y a eu une récente augmentation des logiciels malveillants macOS qui sont conscients de la webcam », a-t-il déclaré.

Le malware OS.X Eleanor a été détecté pour la première fois publiquement en juillet, qui a tenté d’enregistrer les utilisateurs d’Apple, a noté Wardle. Cependant, les utilisateurs enregistrés aléatoirement par le malware Eleanor avec un indicateur de caméra LED MacBook qui s’est allumé tout seul, sans qu’une autre application ne commence d’abord la caméra, a-t-il dit.

Selon Wardle, il devrait être plus facile pour les utilisateurs de remarquer que l’indicateur LED de la caméra de leurs appareils s’allume tout seul, les avertissant que quelque chose ne va pas.

« Si au lieu de cela, ils avaient utilisé cette technique et attendu une utilisation légitime avant d’enregistrer l’utilisateur, le malware Eleanor aurait facilement pu éviter la détection », a déclaré Wardle.

La capacité de s’accrocher à une application existante n’est pas nécessairement une vulnérabilité qu’Apple pourrait ou devrait corriger, a déclaré Wardle. Il a ajouté que le fait d’avoir la caméra comme ressource partagée peut avoir du sens.

Wardle souhaite un outil pour macOS similaire à celui fourni à ses utilisateurs mobiles iOS, où lorsqu’une application essaie d’accéder à la caméra pour la première fois, une boîte de dialogue contextuelle apparaît demandant à l’utilisateur s’il souhaite accorder l’accès.

« J’aimerais que macOS soit plus comme iOS où il y a une alerte lorsque la caméra est accédée », a déclaré Wardle. « Cela permettrait au système de continuer à partager la webcam, mais si un logiciel malveillant tente d’accéder à votre système, vous verriez une demande contextuelle d’accès. »

Bien qu’Apple n’ait pas encore d’indicateur d’activité de la caméra pour macOS, Wardle a construit un outil gratuit appelé OverSight qui surveillera le microphone et la webcam et notifiera l’utilisateur chaque fois que la caméra et le microphone de son Mac sont activés.

OverSight est capable d’identifier tous les processus qui accèdent et utilisent la caméra intégrée, les reconnaît et permet aux utilisateurs de les bloquer :

Actuellement, en ce qui concerne l’audio, le logiciel est capable d’identifier que le microphone est activé et d’alerter les utilisateurs à ce sujet.

Bien qu’il soit toujours facile de couvrir votre caméra pour bloquer un enregistrement secret, il est plus difficile de faire de même avec le microphone.

Bien que Wardle soit conscient des limitations de l’outil, il dit qu’il continuera à l’améliorer.

« Comme avec tout outil de sécurité, les tentatives directes ou proactives de contourner spécifiquement les protections d’OverSight réussiront probablement », a-t-il noté.

« De plus, la version actuelle d’OverSight utilise des API en mode utilisateur afin de surveiller les événements audio et vidéo. Ainsi, tout logiciel malveillant ayant un composant en mode noyau ou rootkit pourrait être en mesure d’accéder à la webcam et au micro de manière non détectée. »

Source : eWEEK