Une technique toute bête permet à une application d'accéder au Trousseau d'accès d'OS X sans la permission de l'utilisateur.

Depuis 2011, le malware DevilRobber utilise un script (réalisé en AppleScript) qui clique à la place de l'utilisateur sur le bouton OK de la boîte de dialogue demandant l'accès au Trousseau, rapporte le chercheur en sécurité noar. Comme le Trousseau n'est pas protégé par un mot de passe maître, le malware a ensuite le champ libre.

Le pourriciel Genieo utilise la même technique pour accéder à la liste des extensions de Safari qui se trouve dans le Trousseau, et installer ainsi une extension baptisée Leperdvil qui affiche de la pub supplémentaire.

Pour que le logiciel malveillant puisse exploiter cette ruse, il faut toutefois qu'il soit déjà installé d'une manière ou d'une autre sur la machine, ce qui limite les risques. Mais les malandrins ne manquent pas d'imagination pour y parvenir, comme profiter d'une application inoffensive pour s'introduire en même temps (lire : µTorrent ne sera plus accompagné de pourriciels).

Par ailleurs, avoir accès au Trousseau ne signifie pas avoir accès à toutes les données qu'il renferme. Les mots de passe qui y sont stockés sont protégés par le mot de passe administrateur. Néanmoins, un développeur a démontré avec la preuve de concept Keychaindump qu'il était possible, en ayant un accès root au Mac, de lire les mots de passe des utilisateurs connectés.