En septembre dernier, un chercheur en sécurité a montré qu'il était possible de tromper Gatekeeper, le garde-chiourme d'OS X, en attachant un fichier binaire déjà validé par Apple à un logiciel malveillant (lire : Gatekeeper peut laisser passer des malwares dissimulés).
Quatre mois après la révélation de cette vulnérabilité, qui a été présentée en détail lors d'une conférence de sécurité, Apple n'a toujours pas réglé le problème.
Patrick Wardle a indiqué à Engadget que l'entreprise avait uniquement blacklisté les binaires et les applications utilisés pour la démonstration. Le problème de conception de sécurité reste, lui, présent.
« Si je peux déconstruire ce patch en cinq minutes, d'autres peuvent le faire également », met-il en garde. Le chercheur est toujours en contact avec l'équipe de sécurité d'Apple qui lui a affirmé qu'un correctif complet était en préparation.
D'ici sa sortie, Patrick Wardle conseille de ne télécharger des apps qu'à partir du Mac App Store et de sites de confiance utilisant le protocole HTTPS, afin d'éviter des attaques man in the middle qui remplaceraient un logiciel conforme par un vérolé.
