Gatekeeper ne détecte toujours pas les malwares dissimulés

Stéphane Moussie |

En septembre dernier, un chercheur en sécurité a montré qu'il était possible de tromper Gatekeeper, le garde-chiourme d'OS X, en attachant un fichier binaire déjà validé par Apple à un logiciel malveillant (lire : Gatekeeper peut laisser passer des malwares dissimulés).

Quatre mois après la révélation de cette vulnérabilité, qui a été présentée en détail lors d'une conférence de sécurité, Apple n'a toujours pas réglé le problème.

Patrick Wardle a indiqué à Engadget que l'entreprise avait uniquement blacklisté les binaires et les applications utilisés pour la démonstration. Le problème de conception de sécurité reste, lui, présent.

« Si je peux déconstruire ce patch en cinq minutes, d'autres peuvent le faire également », met-il en garde. Le chercheur est toujours en contact avec l'équipe de sécurité d'Apple qui lui a affirmé qu'un correctif complet était en préparation.

D'ici sa sortie, Patrick Wardle conseille de ne télécharger des apps qu'à partir du Mac App Store et de sites de confiance utilisant le protocole HTTPS, afin d'éviter des attaques man in the middle qui remplaceraient un logiciel conforme par un vérolé.


avatar huexley | 

6 mois pour faire une blacklist des apps vérolées et ne rien corriger… On sent vraiment qu'Apple à la sécurité à coeur…

avatar vrts | 

ils ont demandé à leur team de dev de bosser au service optimisation fiscale, plus rentable, on peut pas tout avoir :)

avatar duc998 | 

@huexley :
Tout ce qu'Apple a à cœur, c'est le pognon.

avatar Jeckill13 | 

@duc998 :
Comme les autres sociétés … le but d'une entreprise ce n'est pas d'être philanthrope mais de gagner du pognon sinon c'est une association à but non lucratif

avatar Mrleblanc101 | 

@huexley :
Parce que toi monsieur l'expert sait combien de temps cela prend régler une telle faille de sécurité ? Excuser moi dans ce cas

avatar Ginger bread | 

Et dire que certains se moquent de Windows.:/
Apple ferait bien de s inspirer de Microsoft pour la sécurité, car le manque de communication sur ce sujet n est pas rassurant.

avatar koko256 | 

"HTTPS, afin d'éviter des attaques man in the middle". Lol. Il faut 5mn pour avoir un certificat valide et gratuit chez StartSSL à condition d'avoir le nom de domaine. Cela marche très bien pour un nom approchant (7zip.org au lieu de 7-zip.org ou un autre gtld). Il faut être vigilant mais en général les navigateurs sont à côté de la plaque en ce qui concerne les avertissements de sécurité. Et tant que les développeurs n'ont pas tous les moyens de s'offrir un certificat EV (donc jamais), ça n'est pas près de changer...

avatar Moonwalker | 

La meilleure sécurité reste la vigilance de l'utilisateur.

CONNEXION UTILISATEUR