Grâce à la fonction de partage en réseau, il est possible de contourner la fonction GateKeeper, censée vérifier l’authenticité d’un logiciel téléchargé. Aucun patch n’est disponible pour l’instant.
Le chercheur Filippo Cavallarin a révélé une faille zero-day qui permet de contourner la fonction GateKeeper pour macOS (versions 10.14.5 ou inférieur). Cette protection vérifie l’origine et l’authenticité d’un logiciel téléchargé grâce aux certificats délivrés par Apple. Si la signature n’est pas authentique ou inexistante, le système affiche une alerte pour signaler à l’utilisateur que le logiciel n’est pas digne de confiance.
Toutefois, GateKeeper laisse passer sans broncher les logiciels provenant d’un disque dur externe ou branché en réseau, car ces sources sont considérées comme étant de confiance par défaut. Le chercheur a donc eu l’idée de créer un fichier exécutable ZIP et d’utiliser un lien symbolique pour le faire pointer vers une ressource externe qui fait semblant de provenir d’un partage réseau. Par exemple : « Documents -> /net/evil.com/Documents ». Sur macOS, un tel partage est monté de manière automatique, et le logiciel ainsi téléchargé ne provoque aucune alarme de la part de GateKeeper. Le chercheur a démontré son attaque dans une vidéo Youtube.
Apple a été alerté sur cette faille, mais n’a publié aucun patch pour l’instant. Pour éviter de se faire avoir, Filippo Cavallarin recommande de désactiver le montage automatique de lecteurs réseaux mis en partage. Cette procédure nécessite de modifier un fichier système dans macOS. Elle est détaillée dans sa note de blog.
Source : Note de blog