Une app peut capturer l’écran de votre Mac sans votre consentement
Les contraintes imposées par Apple à toutes les apps qui veulent trouver leur place sur le Mac App Store ne suffisent pas à éviter toutes les failles de sécurité, même si cela n’y ressemble pas à première vue. Felix Krause a trouvé un moyen original pour qu’une app puisse récupérer à votre insu tout le contenu affiché sur l’écran de votre Mac, tout en respectant les exigences de sandboxing de la boutique.
Son idée est de faire une capture d’écran de macOS avant d’appliquer un traitement de reconnaissance optique des caractères (OCR) pour y trouver des informations intéressantes. Il peut s’agir des sites que vous visitez, mais aussi de vos identifiants et même de vos mots de passe. Pour cela, il suffit de faire des captures d’écran très régulières et si l’utilisateur affiche un mot de passe dans son gestionnaire, ne serait-ce que brièvement, il sera enregistré et analysé.
La possibilité de prendre une capture d’écran est accessible à n’importe quelle application macOS avec quelques lignes de code seulement. Il n’y a aucune autorisation préalable à obtenir pour que ces lignes soient fonctionnelles et le système n’alerte pas l’utilisateur, par exemple de façon visuelle comme sur iOS. En clair, une app distribuée sur le Mac App Store et respectant toutes les consignes de cloisonnement d’Apple pourrait se transformer en malware qui analyse en permanence ce que vous faites sur votre ordinateur et l’envoie sur un serveur tiers.
Apple a été notifié de cette faille dans la sécurité de macOS et on imagine qu’une future version du système bloquera cette possibilité. Ou au moins, s’assurera que l’utilisateur autorise une app à faire des captures d’écran, en général ou au cas par cas.
?♂️
Ahlala
Il faudrait que macOS deviennent autant fermé qu’iOS.
@reborn
«Il faudrait que macOS deviennent autant fermé qu’iOS.»
La fermeture c'est la meilleure des garanties de securité, c'est bien connu...
Sinon, ici la faille c'est pas que la l'application puisse enregistrer l'ecran c'est qu'elle puisse le faire sans avoir reçu l'autorisation explicite.
On est encore dans un probleme de conception de la part d'Apple. Le principe de prendre l'utilisateur pour un neuneu qu'il ne faut surtout pas ennuyer mais rançonner et piller systematiquement et encore a l'origine de cette imbecilité.
C'est comme pour le compte root et autres "évitement de désagréments": plutot que de responsabiliser l'utilisateur, de luis donner les moyens de ses pouvoirs et responsabilités, on l'empeche de choisir et d'avoir le controle.
Et qu'est ce que tu preconises, en bon gardien du temple, dans la ligne habituelle qu'est devenue celle d'Apple: supprimer la fonction!!! Ben tiens!
C'est pourtant pas difficile a comprendre: l'OS controle tout l'acces au materiel et les entrees/sorties de données, c'est son role.
L'application fait ce que l'OS lui permet de faire.
Si on donne a l'utilisateur le pouvoir de decider si l'application peut acceder au reseau, peut filmer l'ecran, peut acceder au micro, a la camera,... c'est etre dans le role qu'est celui de l'OS et donner le role qu'est le sien a l'utilisateur.
Les gens sont pas encore totalement des abrutis anesthesiés, ils sont capables de comprendre qu'un traitement de texte ou un navigateur, n'a pas a faire des copie de l'ecran si a acceder au micro...
@C1rc3@0rc
C’était ironique hein, un macOS totalement verrouiller devient un iOS.
Bon sinon cette "faille de conception" date donc d’il y a un moment.
Mais qu’a fait Jobs ? C’était pas supposé être parfait avec lui ?.. ?♂️
@reborn
Mais qu’a fait Jobs ? C’était pas supposé être parfait avec lui ?.. ?♂️
C’était parfait sur le moment, ça l’est plus malheureusement.
@C1rc3@0rc
Ça me casse déjà royalement les couilles sur iOS alors si c’est pour avoir des pop up sur Mac, non merci !
La fête continue .....................
C’est l’hémorragie !!!
Si c’est vraiment si facile, c’est gravissime.
On n peut pas faire ça sur les autres systèmes aussi, comme Linux ou Windows par exemple ? Ils ont des protections spécifiques ou c'est le même problème ?
C'est le même problème.
Pour info, les fabricants de carte graphique ont par définition accès à tout instant au contenu de votre écran. Un pilote graphique peut donc parfaitement "lire" votre écran aussi. Pire, vu la puisse des GPU désormais, faire de l'OCR sans que cela apparaisse même dans l'activité visible (% de CPU d'un processus, etc) par l'utilisateur.
Si tu vas par là, c'est encore pire pour les fabricants de disques durs et SSD! ?
Pas vraiment, car la puissance de traitement embarqué dans les contrôleurs HD et SSD est nettement plus réduite d'une part, et d'autre part une partie non négligeable de vos données personnels ne sont pas forcément persistantes sur disque mais sur Internet.
Je pense qu'il est plus facile d'installer un malware qui viendra discrètement s'ajouter au code des shaders de votre GPU sans que vous le remarquiez (comme font les OSD qui s'ajoutent par dessus vos jeux - okay ceux là se remarque puisque c'est l'objectif, mais l'idée est la même) que d'installer un truc dans le firmware d'un contrôleur HD ou SSD.
Ya pire, le clavier *fear*
C'est vraiment génial j'adore ! Quelle inventivité.
Faudrait supprimer l'écran! ?
il me semble plus sécuritaire de laisser l'écran , mais de supprimer l'UC ...
on évite ainsi aussi les failles réseau , processeur gruyère , etc...
@r e m y
C'est prévu dans les prochains MBP, plus d'écran, prix doublé ;)
Mais par contre on ne peux pas faire de capture d’écran sur une vidéo propriétaire, « obliger» de télécharger illégalement pour en profiter... c’est quand même bizarre
Capturer écran ? Et s'il y a enregistrement vidéo écran pour mac ? (À part QuickTime)
@Mac13
Il parle de vidéos protéger par des DRM : iTunes, DVD
Qui sont protégés contre la copie.
Et Apple ose nous parler de sécurité? ?
Que de la com! Le roi du bla bla...
Cela m’étonne presque pas, première faille de macOS : toutes les applications se superposent. Et je ne cite même pas le bureau.
Il serait temps que macOS prenne une bonne retraite mérité, je ne vois pas l’intérêt de perdre du temps à transformer macOS en iOS.
@iPop
Mon avis (et je l’espère) c’est qu’il y a de gros chantier en cours sur macOS.
La gestion des fenêtres doit être modernisé, le dock aussi.
@iPop
Il faudrait surtout le recommencer de zéro en gardant plusieurs bases. Moi j'aime macOS, juste ces derniers temps Apple fait n'importe quoi et notamment sur macOS.
Mais les MacBook comme tous les of doivent continuer d'exister, il est inconcevable de tout faire sur iPad!
Seuls les lambdas n'utilisant que peu leur ordi voudraient utiliser leur iPad en remplacement.
@IPICH
Je ne suis pas certain. Suffit de voir la Surface qui joue entre deux chaise : interface vieillotte, moderne, tablette, etc...
Je suis un pro de l’image et toutes les interface d’Adobe sont mal foutu, chargé, redondante, etc...
Alors soit on garde le bordel pour contenter les vieux soit on fait un bon en avant; le hic c’est que personne ne conçoit le bon en avant.
Il suffit donc… de ne pas l’installer.
Ça tombe bien. Le système a déjà un logiciels dédié aux captures d’écran (Capture) et j’ai un excellent OCR.
Je n’ai pas l’impression que le problème vienne d’applications spécifiques de capture d’écran mais de n’importe quel logiciel qui intègrerait une possibilité de capturer nos écrans et s’enverrait les captures pour un usage malveillant.
Si j’ai bien compris...