Gatekeeper est un outil de sécurité disponible sur macOS qui vérifie les applications immédiatement après leur téléchargement. Cet outil empêche aux applications téléchargées en dehors du Mac App Store d’être exécutées sur le Mac sans le consentement de l’utilisateur. Il se trouve qu’une faille est présente dans ce mécanisme.
Filippo Cavallarin, un chercheur en sécurité, a annoncé ce qu’il considérait comme étant un moyen de contourner la fonctionnalité de sécurité Gatekeeper de macOS. Dans la mise en œuvre de ce moyen, Gatekeeper considère à la fois les lecteurs externes et les disques réseau comme des emplacements sûrs. Cela signifie que toute application placée dans ces emplacements peut être exécutée sans être vérifiée à nouveau.
La méthode utilisée par chercheur consiste à créer un lien symbolique qui renvoie vers un emplacement arbitraire. L’utilisateur clique sur le dossier malveillant (qu’il croit être un dossier non infecté) et suit le lien symbolique. Ainsi, l’utilisateur se trouve dans un emplacement contrôlé par le hacker, mais approuvé par Gatekeeper. Cette faille, explique Cavallarin, peut être exploitée sur toutes les versions de macOS, même la version de macOS 10.14.5 publiée il y a quelques jours.
Filippo Cavallarin a déclaré avoir informé Apple de cette faille le 22 février dernier que la société était censée la boucher avec macOS 10.14.5. Mais cela n’a pas été fait et le chercheur a annoncé qu’Apple a cessé de répondre à ses emails. Il a enfin dévoilé la faille parce que le sursis de 90 jours (donné avant la publication d’une faille retrouvée dans un système d’exploitation) a été écoulé.
