L'exploitation de la faille Gatekeeper permet aux hackers d'infiltrer des logiciels malveillants sur votre Mac

Les hackers peuvent exploiter l’outil Gatekeeper de Mac avec une nouvelle faille et installer des applications malveillantes

En 2012, Apple a introduit Gatekeeper comme une couche de sécurité supplémentaire pour son système d’exploitation de bureau Mac OS X. Cette fonctionnalité a été conçue pour empêcher même les utilisateurs les plus avancés d’installer accidentellement des logiciels malveillants sur leurs ordinateurs. Gatekeeper vérifie le certificat numérique d’une application qui est installée sur un Mac pour s’assurer qu’elle a été signée par un développeur approuvé, ou que le téléchargement provient directement de l’App Store d’Apple.

Cependant, il a été constaté que Gatekeeper permet aux hackers d’infiltrer des logiciels malveillants sur votre Mac en contournant complètement la célèbre sécurité de Mac. En utilisant une faille spécialement conçue, les cyber-attaquants sont capables d’ouvrir une application Mac malveillante, même si elle est configurée pour n’ouvrir que celles téléchargées depuis l’App Store.

La faille a été découverte par Patrick Wardle, directeur de la recherche chez la société de sécurité Synack. Wardle a découvert que l’exploitation est rendue possible grâce à un défaut de conception clé dans Gatekeeper qui permet à un attaquant d’utiliser un fichier binaire déjà approuvé par Apple pour exécuter des fichiers malveillants.

Wardle a trouvé un binaire largement disponible qui est déjà signé par Apple, qui, une fois exécuté, lance une application distincte située dans le même dossier. Pour des raisons de sécurité, les noms des fichiers n’ont pas été divulgués. Appelons-les donc Binaire 1 et Binaire 2.

Ce que fait l’exploitation de la faille Gatekeeper est simple, elle renomme le Binaire 1 puis l’emballe à l’intérieur d’une image disque Apple. Puisque le Binaire 1 renommé est déjà signé par Apple lui-même, il sera immédiatement approuvé par Gatekeeper et exécuté par OS X.

Après avoir accédé au cœur du système d’exploitation, le Binaire 1 recherchera le Binaire 2 situé dans le même dossier, qui dans ce cas est l’image disque téléchargée. Comme Gatekeeper ne vérifie que le fichier original sur lequel un utilisateur final clique, l’exploitation de Wardle échange le Binaire 2 légitime avec un malveillant et l’emballe dans la même image disque sous le même nom de fichier. Puisque le Binaire 2 n’a pas besoin de certificat numérique pour s’exécuter, il peut installer tout ce que l’attaquant souhaite.

Une méthode similaire fonctionne également avec des plugins (par exemple, des add-ons Photoshop) qui peuvent contourner Gatekeeper : trouvez une application qui charge des plugins, substituez votre logiciel malveillant à l’un de ces plugins et encore une fois, Gatekeeper ne fait pas attention.

Ces fichiers regroupés peuvent installer divers types de logiciels malveillants, y compris des enregistreurs de mots de passe, des applications capables de capturer de l’audio et de la vidéo, et des logiciels de botnet.

L’exploitation de la faille Gatekeeper fonctionne sur toutes les versions de Mac OS X, y compris El Capitan et Yosemite. Wardle a déclaré qu’il avait réussi à tester son exploitation sur la version bêta d’El Capitan.

En parlant de sécurité et de confidentialité, Patrick Wardle a souligné un bon point en disant que :

« Si je peux le trouver, vous devez supposer que des groupes de hackers ou des États-nations plus sophistiqués ont trouvé des faiblesses similaires. Je suis sûr qu’il existe d’autres applications signées par Apple qui peuvent également être abusées pour contourner Gatekeeper. »

Wardle dit que la vulnérabilité a été signalée il y a 60 jours et a des projets de présenter ses conclusions à la Conférence internationale sur les virus Bulletin jeudi à Prague. Pendant ce temps, Apple est au courant de la faille et travaille sur un correctif pour résoudre la cause sous-jacente. Bien qu’il ne soit pas clair quand le correctif arrivera, le seul conseil d’ici là serait de n’obtenir des applications que de sources en qui vous pouvez avoir confiance.