OSX/Linker : la brèche Gatekeeper a été exploitée par un malandrin

Mickaël Bazoge |

La brèche de Gatekeeper dévoilée fin mai par le chercheur Filippo Cavallarin a été exploitée par au moins un éditeur de logiciel publicitaire. Cette faille contourne la muraille érigée par le système de protection d’Apple, qui est censée empêcher l’ouverture d’applications vérolées. Elle permet d’exécuter du code sur une machine distante, bien sûr dans le dos de l’utilisateur (lire : Une faille dans la muraille de Gatekeeper).

Apple a été mise au courant de cette vulnérabilité depuis le 22 février, le constructeur ayant promis de la boucher sous les 90 jours. Mais le constructeur n’a pas tenu parole, Filippo Cavallarin se heurtant même à un mur. En attendant que les choses bougent du côté de Cupertino, des malandrins ont commencé à tirer partie de cette faille.

Intego, qui rapporte la découverte, est tombé sur une première tentative d’exploitation de la faille de Gatekeeper baptisée OSX/Linker. Quatre images-disque au format .dmg ont été téléversées sur VirusTotal, un site web qui analyse les fichiers potentiellement dangereux qui traînent sur les internets. Ces images, dont l’upload remonte au 6 juin pourraient faire figure de test avant une distribution plus large ; en effet, ces .dmg se contentent de créer un fichier texte temporaire. Un premier pas vers une attaque plus sérieuse ?

Les quatre images se déguisent sous la forme d’un installeur Flash Player, un des moyens les plus utilisés par les hackers pour pousser leurs victimes à lancer l’installation de leurs malwares. La quatrième a ceci de particulier qu’elle bénéficie d’une signature Apple ID ayant servi à signer des centaines de faux fichiers d’installation Flash Player ces 90 derniers jours.

Ces faux installeurs sont apparentés à la famille de l’adware OSX/Surfbuyer, un logiciel pénible qui traine depuis plusieurs années sur macOS. Intego a prévenu Apple, qui va procéder — si ce n’est pas déjà fait — à la suppression du certificat du développeur en question. La Pomme serait aussi bien avisée de corriger la faille le plus rapidement possible.

avatar Rifilou | 

Est-ce que la faille a été corrigé dans macOS Catalina ?

avatar rolmeyer | 

Serieux ? Y a encore des mecs pour cliquer sur une dmg flash ?

avatar reborn | 

@rolmeyer

Tous les utilisateurs non avertis, un moment d’inattention et le drame est arrive ! 😱

avatar ClownWorld 🤡 | 

Si c’est flash player ils devaient utiliser autre chose que Safari

avatar Nesus | 

Apple a quand même un problème de gestion de ressource. Ok c’est la période la plus compliquée pour eux parce qu’il faut faire avancer les bêta, mais avec une faille de ce niveau, ils devraient stopper ce qu’ils font pour s’occuper de ça plutôt qu’attendre.
C’est pas la première fois qu’on les attrape à laisser filer le temps de la mise à jour suivante...

Cela même si les conditions de réalisation semblent peu probables.

avatar occam | 

@Nesus

"Apple a quand même un problème de gestion de ressource."

C’est injuste de dire ça, je jour où l’on annonce que Nick Law, directeur de la création de Publicis Groupe, rejoint La Pomme.

Il n’y a pas de problème de gestion de ressources, juste une question de priorités. Apple a clairement manifesté les siennes.

avatar fte | 

@Nesus

"ils devraient stopper ce qu’ils font pour s’occuper de ça plutôt qu’attendre. "

???

Comme si les failles de sécurité d’un module de protection système était un projet annexe de l’équipe qui développe l’app Musique... Apple n’est plus une startup dans un garage.

Ça requiert un tout petit brin de spécialisation à ce niveau, quand-même.

Ce n’est pas un problème de gestion de resources, c’est un problème de communication interne et de gestion des priorités.

avatar IRONMAN65 | 

De plus en plus idiots chez Apple

avatar mouahaha | 

Il manque la news sur le tacle de facebook pour allez plus loin. :)

4 mois qu'apple est au courant et la brèche de sécurité est toujours la. Il devrait se reconvertir dans les one man show timmy le rigolo :)

avatar frankm | 

@mouahaha

Je crois qu’ils croient que c’est de la faute de l’utilisateur.
Ils croient aussi qu’ils vendront des iPhone à 1159€. Merde ça a marché

avatar nicolaspatate | 

Faut être vraiment debile pour cliquer sur le truc flash

avatar byte_order | 

Ah, ben du coup toutes ces histoires de la sécurité meilleure, au coeur des préoccupations de la marque et bla bla bla, cela n'a aucune importance, car en fait tout est de la faute de l'utilisateur quand cela ne marche pas ?

Apple a une clientèle en moyenne plus novice, attirée justement par les promesses d'avoir plus le droit de pas franchement s'y connaitre en informatique.
Mais au final, pan dans la tronche : vous n'aviez pas qu'à être aussi novice !?

Avec des arguments pareils, les autres plateformes ne font pas pires, du coup.

avatar mouahaha | 

Bah oui, sous windows c'est de la faute à windows si on chope des virus, sous osx c'est de la faute à l'utilisateur qu'on a attiré avec plein de bullshit de marketeux et a qui on a promit la lune dans les pubs mac vs pc. :)

avatar frankm | 

@nicolaspatate

Oui et c’est toujours la même arnaque.

avatar Alberto8 | 

Sur certains sites un .dmg et automatiquement télécharger et il suffit que dans les réglages safari vous ayez mis :

Ouvrir automatiquement les fichiers fiables pour que ça ouvre le fichier !

Donc un conseil : ne pas cocher cette case !

avatar Moonwalker | 

Comme cette case est cochée par défaut, le bon conseil serait plutôt de la décocher.

Nonobstant, il ne suffit pas que le dmg s'ouvre pour installer un programme, il faut le lancer.

Il est toujours permis de réfléchir.

avatar ForzaDesmo | 

@Alberto8

C'est étonnant car dans les préférences systèmes de Safari, il n'est pas noté que cela ouvre automatiquement une image disque. D'ailleurs pour ma part quand un upload sauvage d'une image disque se place directement dans le dossier de téléchargement, il ne s'ouvre pas automatiquement. Est-ce peut être dû à une version ancienne de Safari ?
Je suis en Safari v12.0.2

avatar DareMac | 

Faille en Open Source? Souvent réglé le lendemain.
Faille chez le GAFAM? Après une longue phase de déni et de brouhaha sur les réseaux sociaux... à peu près réglé.

avatar en ballade | 

@DareMac

Microsoft réagit rapidement. Mais la on parle d'un parc windows pour les professionnels

CONNEXION UTILISATEUR