Des chercheurs viennent de mettre en avant une faille qui a été corrigée par Apple avec macOS 26.4 mais qui touchait les versions précédentes de macOS Tahoe et potentiellement d'autres versions de macOS1. Elle permettait à un malandrin d'accéder à des données normalement protégées par le système d'exploitation, à travers Utilitaire d'archive (Archive Utility), l'outil de compression et de décompression de macOS.
Avant macOS 26.4, cet outil qui sert à compresser (ou décompresser) les données avait un accès complet à certaines zones du SSD qui ne sont normalement pas accessibles, pour diverses raisons pratiques. Premièrement, l'outil pouvait accéder sans autorisations particulières aux dossiers Documents et au Bureau, qui stockent généralement des données importantes. En temps normal, une app doit demander un accès et l'utilisateur peut le refuser, mais ce n'est pas le cas ici. Deuxièmement, l'outil permettait d'accéder aux conteneurs liés aux applications, qui sont normalement dans un bac à sable. En temps normal, les données de Safari (par exemple) ne sont accessibles que par Safari et pas une autre application du Mac. Enfin, il peut aussi accéder au contenu d'une app (qui, avec macOS, est en réalité un dossier qui contient des données).
L'idée de l'attaque, détaillée sur le blog de Mysk, est de profiter d'une autre fonction de macOS. Si vous glissez un fichier qui se trouve sur le bureau (par exemple) vers une app, elle obtient un accès à ce fichier, même s'il est dans un dossier protégé. C'est le comportement attendu et c'est logique : il permet d'éviter les erreurs et sans ce mécanisme, le glisser/déposer ne fonctionnerait pas dans tous les cas.
La mise en place était finalement assez simple en réalité. Premièrement, un script que l'utilisateur devait exécuter, qui ne nécessite pas de droits particuliers. Comme les auteurs l'expliquent, l'installation d'une app ou d'un service avec une ligne de commande n'est pas inhabituelle, par exemple avec Brew. La seconde partie consiste à pousser l'utilisateur à glisser un fichier (les préférences liées à l'Utilitaire d'archive) sur le terminal de macOS. Il est possible de le faire de façon explicite en poussant l'utilisateur à le faire en lui promettant quelque chose qu'il attend (probablement illégale) ou en trichant un peu. En modifiant le contenant d'une image disque, il est possible de remplacer l'icône des préférences par l'icône d'une app et celle du Terminal par l'icône du dossier Applications par exemple.
Avec ces deux étapes finalement assez simples, l'attaquant peut avoir accès aux conteneurs normalement protégés de nombreuses apps, comme les messages, les notes, Safari, Mail, WhatsApp, etc. Ils notent que comme les données présentes dans les conteneurs sont a priori inaccessibles pour d'autres apps, elles ne sont pas nécessairement chiffrées. L'exemple donné est celui de Safari : les cookies sont en clair. C'est logique dans un sens, étant donné qu'une app malicieuse ne devrait pas y accéder.
Ils montrent aussi qu'une app peut être modifiée avec du code exécutable qui demande ensuite un accès à certaines données, en requérant le mot de passe de l'utilisateur. Cette méthode a le gros avantage de ne pas reposer sur des copies de fenêtres de macOS, mais bien de passer par les API standards et donc d'afficher un message qui semble parfaitement valable.
Apple a corrigé le problème avec macOS 26.4, en bloquant l'accès d'Utilitaire d'archive, qui ne peut plus accéder aux données normalement protégées. De même, la nouvelle protection de macOS 26.4 qui prévient l'utilisateur en cas de copier/coller suspect dans le terminal est visiblement liée à cette faille. Bien évidemment, les différentes corrections d'Apple ne protègent pas tous les utilisateurs : ceux qui donnent un accès plus large de façon explicite (comme un accès complet au disque pour le terminal) risquent encore dans certains cas de laisser des portes ouvertes. Mais avec macOS 26.4, macOS est un peu mieux protégé… jusqu'à la divulgation de la prochaine faille.
L'avertissement pour les copier-coller frauduleux de macOS 26.4 cible les néophytes
-
Ils indiquent ne pas avoir vérifié. ↩︎
