Gatekeeper peut laisser passer des malwares dissimulés

Stéphane Moussie |

Présent depuis Mountain Lion, Gatekeeper est le garde-chiourme d'OS X. Ce système de sécurité activé par défaut empêche l'exécution d'applications (qu'elles proviennent ou non du Mac App Store) qui ne sont pas signées numériquement par un développeur enregistré auprès d'Apple (et donc en qui on peut avoir confiance). On est ainsi censé avoir l'assurance que les applications autorisées par Gatekeeper ne sont pas malveillantes.

Seulement, un chercheur en sécurité a découvert qu'il était possible de duper le dispositif. En attachant un fichier binaire déjà validé par Apple à un logiciel malveillant, Gatekeeper se laisse avoir et ne bloque pas ce dernier. Selon Patrick Wardle, cette technique serait déjà utilisée par au moins une application.

Cliquer pour agrandir

Le chercheur rappelle que le rôle de Gatekeeper se limite à contrôler les applications avant leur exécution : « Gatekeeper ne surveille pas le fonctionnement de l'application. Si l'application charge ou exécute un autre contenu qui se trouve dans le même répertoire, Gatekeeper n'examine pas ces fichiers. »

OS X intègre heureusement d'autres mesures de sécurité, comme XProtect ou System Integrity Protection dans El Capitan, qui arrêtent ensuite les menaces connues, mais Gatekeeper ne fait pas sa part du travail.

Patrick Wardle a alerté Apple, qui travaille sur un correctif. Il présentera en détail sa découverte jeudi 1er octobre lors de la conférence Virus Bulletin.


avatar youpla77 | 

"Patrick Wardle a alerté Apple, qui travaille sur un correctif."
Effectivement il a alerté Apple il y a 60 jours...

avatar GlobeTrotteur | 

@youpla77 :
Apple toujours aussi "réactif" lorsqu'il s'agit de sécurité.. :-/

avatar Domsware | 

@GlobeTrotteur :
C'est bien connu : un correctif ça se pond en 30 secondes !

avatar marc_os | 

@GlobeTrotteur :
Ça c'est sûr, rien de plus rapide qu'un troll qui n'a rien d'autre à faire que cracher dans la soupe.

avatar oomu | 

Le "System Integrity Protection" (ou "rootless") de El Capitan va empêcher les applications malveillantes de modifier le système et de s'incruster au sein des applications du système, même si laissée exécutée par Gatekeeper (sauf s'il y a un bug dans Os X bien sur :) ).

-
léger hors sujet, Safari dans El Capitan commence à dire que les extensions, c'est mieux si elles venaient du site officiel Apple signée par Apple.

progressivement tout se verrouille, même si on a encore le droit de désactiver le verrouillage.

Le prix à payer pour protéger les utilisateurs et empêcher les malware même quand l'utilisateur lui même s'évertue à toujours vouloir aller sur les forums de ma mafia russe au fin fond d'un serveur .kr belge exécuter un "DownloadFastAndFurious7-promisjuré-cestlefilm.dmg"

mais dans un monde où on laisse Download.com et Télécharger.com fournir des installateurs associant des saloperies à de sympathiques logiciels (vlc, mplayer, etc), je suppose qu'on a pas le choix...

avatar C1rc3@0rc | 

+1

La solution d'Apple est pertinente et efficace, car elle est un bon compromis entre securite et consommation de ressources.

Pour autant cela se contourne comme dans n'importe quel systeme de ce type, le fait d'injecter du code dans l'espace autorise est une technique classique et qui est difficilement evitable, ne serait ce qu'a cause du mecanisme de communication entre processus. On peut d'ailleurs effacer totalement un disque en lancant un script bash depuis n'importe quel soft, le tout est d'avoir obtenu les droits d'administrateurs, ce qui n'est pas tres difficile puisque la majorite des utilisateurs n'ont qu'une seule session et que c'est celle qui dispose des droits administrateurs...

avatar oomu | 

" le fait d'injecter du code dans l'espace autorise est une technique classique et qui est difficilement évitable,"

ce n'est plus possible dans El Capitan. Disons que les "espaces autorisés" sont presque inexistants. Cela concerne pour commencer TOUTES les applications du système et fichiers de /System/* , /usr (sauf /usr/local) et d'autres dossiers). Pas d'injection de code.

"a cause du mecanisme de communication entre processus"

les extensions qu'a introduit Yosemite et que continue El Capitan ont pour but de rendre obsolète les anciens mécanismes. Apple a bridé progressivement les input managers par exemple, les bundle objet du runtime objective-c, etc.

"On peut d'ailleurs effacer totalement un disque en lancant un script bash depuis n'importe quel soft,"

ce n'est plus possible dans El Capitan.
Même le compte root se verra refuser d'effacer /Applications ou /System

Après en réalité, ce sont les documents, photos, films etc que les utilisateurs veulent protéger. Mais le but est d'éviter que le système soit corrompu et retourné contre l'utilisateur.

-
"le tout est d'avoir obtenu les droits d'administrateurs"

un compte administrateur dans El Capitan est maintenant un compte ayant accès qu'à un compte "root" ligoté.

Le compte administrateur grosso modo peut changer les préférences systèmes, rajouter des polices et autres extensions dans /Library, copier des applications dans /Applications, et pas grand chose d'autre
(pas même toucher aux extensions kernels, attacher un débuggueur à une application système, etc).

Je suppose que plus tard Apple étendra cette protection aux applications signées par les autres développeurs.

avatar tilho | 

Deux cas qui résument ce que je constate avec GateKeeper :
- L'utilisateur le désactive suite aux conseils d'untel (qui s'y connait bien en informatique !) et installent des pourriciels du type logiciel d'entretient ou MacKeeper qui font tout l'inverse
-L'utilisateur ne maîtrise pas bien son ordinateur et est complètement "bloqué" pour installer des programmes sains (c'est par exemple une vraie plaie pour dépanner un client à distance).

On peut essayer d'identifier toutes les failles qu'on veut dans le système et le protéger techniquement comme on veut, cela doit passer aussi par de la pédagogie. Tant que les utilisateurs seront tentés d'installer MacKeeper et d'autres saletés dans le genre ou ne passeront pas par les sites officiels (comme le souligne oomu) pour télécharger leurs applications, il y aura des problèmes.

(ouff, on est enfin débarrassé de Genieo par Xprotect)

avatar C1rc3@0rc | 

+1
Et avec la paresse et le manque d'information de l'utilisateur on se dirige tout droit sur un systeme comme iOS mais encore plus verrouillé.
Mais il n'y a pas le choix helas, et on e fait que constater que les antivirus marketes comme avances (cad predictifs) sont pire que le mal.

avatar oomu | 

raaaah non, pas MacKeeper...

(et le pire du pire "ben c'est le prof qui m'a dit de faire ça..." )

CONNEXION UTILISATEUR