Un chercheur en sécurité a reçu plus de 100.000 dollars US d’Apple pour une chaîne d’exploits permettant de prendre le contrôle du navigateur Safari. Il suffisait d’amener la victime à ouvrir un fichier inoffensif sur une page Web manipulée pour que l’attaque se produise, explique le chercheur en sécurité Ryan Pickren. Le fichier inoffensif peut ensuite être remplacé discrètement par un code exécutable qui donne au pirate le contrôle du navigateur – y compris l’accès aux comptes en ligne auxquels l’utilisateur est actuellement connecté ainsi que la webcam, si l’autorisation a déjà été accordée dans le navigateur.
Sommaire
Pas de protection par Gatekeeper
Les fonctions de protection intégrées à macOS, telles que Gatekeeper, censées empêcher de telles attaques, ont été déjouées par Pickren. Cela a été rendu possible par une faille de conception dans la fonction de partage de documents iCloud d’Apple : Le processus ShareBear utilisé à cet effet ne demandait à l’origine qu’une seule fois si un fichier devait être ouvert – ensuite, il ne le demandait plus.
Même après le remplacement du fichier inoffensif par un binaire malveillant, ShareBear continuait à l’ouvrir sans que l’utilisateur n’ait à donner son accord, écrit Pickren. L’attaquant pouvait ainsi lancer à tout moment et à distance un fichier échangeable sur le Mac de la victime.
Failles de sécurité corrigées par Apple
Pickren a signalé les erreurs à Apple durant l’été 2021 et le fabricant a progressivement corrigé les vulnérabilités au cours des mois suivants. Il s’agit notamment d’un correctif pour WebKit avec Safari 15 pour macOS 11 et 10.15 ainsi que d’adaptations dans macOS Monterey à partir de la version 12.0.1. Parallèlement, Apple a apparemment aussi procédé à des corrections dans iCloud et a finalement encore amélioré l’éditeur de scripts intégré dans macOS afin d’empêcher le contournement de Gatekeeper et l’évasion de la sandbox.
Une erreur de conception dans un programme peut rendre d’autres bugs indépendants de celui-ci nettement plus dangereux, écrit Pickren. Sa chaîne d’exploits est en outre un bon exemple montrant que malgré Gatekeeper, il est encore possible de faire beaucoup de bêtises « en poussant des apps déjà autorisées à faire des choses nuisibles ».