Une faille dans la muraille de Gatekeeper

Mickaël Bazoge |

Gatekeeper est un gardien sourcilleux qui empêche d’installer n’importe quoi sur un Mac. Sauf si un malandrin trouve le moyen de contourner le système de protection de macOS ! Filippo Cavallarin a mis la main sur une vulnérabilité de la technologie d’Apple permettant d’exécuter du code malveillant sans l’autorisation de l’utilisateur ni aucun avertissement.

La faille est relativement simple, elle exploite un comportement de Gatekeeper qui considère les supports externes et les serveurs partagés comme des emplacements sécurisés ; par conséquent, les applications stockées sur ces espaces sont autorisées à fonctionner sur le Mac sans autre forme de procès.

Ajoutons à cela deux fonctions standard de macOS : le montage automatique d’un serveur (avec une URL spéciale débutant par /net/) d’une part, qui fait lire à macOS le contenu d’un dossier présent sur le serveur distant. La deuxième concerne les dossiers compressés ZIP contenant des liens pointant vers un emplacement spécifique. L’application macOS chargée de la décompression des archives ZIP ne vérifie pas ce type de liens.

En combinant ces comportements, un forban est donc en mesure de lancer du code à la coule sur le Mac de sa victime sans que celle-ci soit au courant. Plutôt dangereux donc, comme Filippo Cavallarin le démontre dans la vidéo ci-dessus. Le chercheur a respecté les règles en vigueur, c’est à dire d’avoir prévenu Apple il y a 90 jours. Le constructeur devait corriger la bourde avec macOS 10.14.5, mais finalement rien n’a été fait. Depuis le 15 mai, Filippo se heurte d’ailleurs à un mur, Apple ne répondant plus à ses courriels.

avatar mud1007 | 

Ouch assez important comme faille quand même !

avatar Bigdidou | 

« Gatekeeper qui considère les supports externes et les serveurs partagés comme des emplacements sécurisés »

Je pense que je ne comprends pas. Ça ne veux tout de même pas dire que Gatekeeper reste indifférent à une application malveillance qui se lancerait à partir d’une clé USB ?

avatar occam | 

@Bigdidou

Ad fontes (Filippo Cavallarin) :
« As per-design, Gatekeeper considers both external drives and network shares as safe locations and it allows any application they contain to run.
By combining this design with two legitimate features of MacOS X, it will result in the complete deceivement of the intended behaviour.

The first legit feature is automount (aka autofs) that allows a user to automatically mount a network share just by accessing a "special" path, in this case, any path beginning with "/net/".
For example
ls /net/evil-attacker.com/sharedfolder/
will make the os read the content of the 'sharedfolder' on the remote host (evil-attacker.com) using NFS.

The second legit feature is that zip archives can contain symbolic links pointing to an arbitrary location (including automount enpoints) and that the software on MacOS that is responsable to decompress zip files do not perform any check on the symlinks before creatig them. »

https://www.fcvl.net/vulnerabilities/macosx-gatekeeper-bypass

Je crois que le terme technique est TA-BAR-NAK.

avatar Bigdidou | 

@occam

Oui.
Heureusement, il y a les puces T2.
C’est pas si con de leur part de geler le Mac au démarrage.

avatar occam | 

@Bigdidou

"Heureusement, il y a les puces T2."

Pas si sûr.
Ça tiendra quelques tours de manivelle.
Mais : voici le rapport de Mikhail Davidov.
https://duo.com/labs/research/secure-boot-in-the-era-of-the-t2
Pour le condensé :
https://duo.com/blog/secure-boot-in-the-era-of-the-t2

Si l’on arrive à y introduire une porte dérobée, le désavantage est qu’elle sera virtuellement indétectable, du moins pendant quelques cycles.

Cela risque de mener à une situation du genre « Les vécés étaient fermés de l'intérieur ».

avatar Bigdidou | 

@occam

« Pas si sûr. »

C’était totalement ironique. Une puce T2 avec des failles gréantes à côté...
Ça me rappelle un service de psy où on avait renforcé la sécurité de la porte encore et encore avant de s’apercevoir que les patients passaient sans problème par la petite fenêtre des toilettes qui donnait sur le dehors. Comme nous avions nos toilettes à nous, jamais nous n’aurions pensé que c’était possible qu’une telle fenêtre ne soit pas sécurisée.
Le plus amusant, quand on a repris les trucs, c’est que tout le personnel de ménage était au courant depuis longtemps.
J’ai l’impression qu’Apple est devenu ce genre de service.

Sinon, oui, pour ton lien ;)
Oomu, je crois, avait déjà évoqué ce scénario ici.

avatar occam | 

@Bigdidou

“C’était totalement ironique. Une puce T2 avec des failles gréantes à côté...”

Et moi, affligé de tunnel vision, détecteur d’ironie en veilleuse. Calisse, la honte. ?

« “Comme un chien!ˮ dit‐il, et c’était comme si la honte dut lui survivre. »
Joseph K me montre la voie, elle est sans issue...

avatar SyMich | 

Si il y a bien un truc qui doit être considéré comme suspect (depuis la nuit des temps), c'est bien un exécutable sur une clé usb!!! C'est fou ça!

avatar Bigdidou | 

@SyMich

« Si il y a bien un truc qui doit être considéré comme suspect (depuis la nuit des temps), c'est bien un exécutable sur une clé usb!!! C'est fou ça! »

Quand il n’est pas caché dans autre chose.
Mais tu as raison, ces trucs bien trop grossiers, ça vaut vraiment pas le coup de les bloquer...

avatar pecos | 

J'ai désactivé cette sottise depuis le début (comme beaucoup).
C'ets vraiment fait pour les noobs et pour eux, je crains que de toute façon, il n'y ait rien à faire d'autre que de ne pas utiliser d'ordinateur.
En tous ca c'est ce que je ressens avec pas mal de gens de mon entourage.
Donc, qu'une faille existe... tant pis, je vais dire. C'était prévisible.

avatar Filou53 | 

euh, je ne capte pas... ?

Quelle sottise ?
On désactive comment ?

Merci à toi ...

avatar Sokö | 

@pecos

"C'ets vraiment fait pour les noobs"

Merci pour eux ?

avatar codeX | 

"J'ai désactivé cette sottise depuis le début (comme beaucoup)."

J'adore ces jugements à l'emporte pièce ?

avatar pecos | 

Je suis vraiment désolé et contrit...
J'ai essayé d'être le plus gentil possible en utilisant le mot "sottise", mais c'est vrai que je pensais si fort "merde", "bouze", "bouzin inutile", "boursouflure", etc que ça a du s'entendre.
Tout ça pour ne pas vous choquer.
Ah là là, ce que c'est que d'essayer d'être consensuel...
Tsss...

@ Filou53 :
https://protuts.net/desactiver-gatekeeper-macos/
https://www.macbookcity.fr/tutoriels/6165/ouvrir-les-apps-non-identifiee...
(ça marche toujours sous mojave...)

avatar SyMich | 

GateKeeper n'est pas infaillible, et donc vous êtes content de l'avoir totalement désactivé...
?
C'est bien ce qu'il faut comprendre???

(Dans certains cas un parachute peut partir en vrille, mais comme vous êtes plus malin que tout le monde, vous sautez sans parachute ?‍♂️)

avatar Bigdidou | 

@SyMich

« Dans certains cas un parachute peut partir en vrille, mais comme vous êtes plus malin que tout le monde, vous sautez sans parachute ?‍♂️) »

Non. Comme j’ai affaire à un constructeur honnête et compétent de parachute, il me préviendra du risque de vrille avec son modèle et ne me fera pas courir un danger mortel en me faisant croire à une fausse sécurité.

avatar marenostrum | 

normalement ils ont mal fait d'enlever la case pour installer de n'importe où. l'utilisateur d'un mac est un homme adulte, il sait ce qu'il fait. pas besoin de tout fermer pour nous protéger.

même en le désactivant par le Terminal, chaque mise à jour système, remet la protection en place et la case disparait.

avatar SyMich | 

Je réagissais à Pecos qui explique qu'il ne craint pas cette faille en ayant désactivé GateKeeper depuis toujours... ?‍♂️

avatar ForzaDesmo | 

@débileg

Bien d'accord.
Et je rejoindrai bien @Pecos, car il y en a beaucoup qui cherchent les problèmes. Ils vont sur des sites peu fréquentables et valident n'importe quelle fenêtre, on leur dit de mettre à jour cela, d'installer ceci, d'installer flash, que leur PC est infecté d'un virus et qu'il faut installer tel logiciel pour garantir l'intégrité de leur PC et après ils viennent tout penaud dans les forums en certifiant qu'ils n'ont rien fait (juste fait ce qu'on leur demandait) car leur PC merdouille.
Alors Apple qui planque la bibliothèque de l'utilisateur, qui fout Gatekeeper... ça emmerde les gens et ça ne sert à rien.

Il ferait mieux de mettre à l'installation un choix :
- Vous êtes béotien en informatique, cliquez installation pour les nuls.
- Vous avez une connaissance en informatique de simple utilisateur, cliquez installer pour les simples utilisateurs avec protection.
- Vous êtes utilisateur érudit, cliquez installer car vous n'avez pas besoin que l'on vous tienne la main (A vos risques et périls).

avatar Filou53 | 

@Pecos
Merci à toi

avatar __ZouLou__ | 

« un forban est donc en mesure de lancer du code à la coule » : j’adore le style ! ?

« Un malandrin » ou encore mieux, un chenapan non ? ?

avatar JotaPe86 | 

Gatekeeper et SIP me semblent surtout destinés à ce que M. ou Mme Michu achètent leurs applications sur l'AppStore, rien d'autre.
Derniers effets de la "sécurité" de macOS : depuis la dernière mise à jour de Safari (12.1.1) sur mon HSierra 13.6, je fais une .webarchive, je veux l'ouvrir et Safari me met un message comme quoi il ne peut pas "because it is from an unidentified developer".

CONNEXION UTILISATEUR