Apple a validé une application macOS qui cachait un malware

Depuis 2019, Apple oblige les concepteurs à authentifier leurs applications pour macOS, même celles qui ne sont pas distribuées sur le Mac App Store. Mais un développeur de malware a réussi à authentifier un code infecté par un malware. Leur certificat du développeur a depuis été révoqué. Mais cela jette un doute sur l’efficacité du système.

Patrick Wardle est un développeur d’applications de sécurité pour macOS. Il tient également un blog spécialisé sur les questions de sécurité autour de l’environnement Apple. Le week-end dernier, il a publié un article long, technique, mais fort intéressant sur une histoire qui fait froid dans le dos : l’authentification par Apple d’une application qui contient un malware. Et pas n’importe lequel : le plus connu de tous les malwares sous macOS : Shlayer.

Source : PayPal : une attaque phishing menace de vider le compte des utilisateurs en France

Revenons un peu en arrière. En 2012, Apple présente Gatekeeper, une nouvelle fonction de sécurité intégrée à macOS Lion (10.7) qui permet de bloquer les applications dont le développeur n’est pas identifié. L’idée est d’empêcher les utilisateurs d’ouvrir des applications vérolées. Il est cependant toujours possible de contourner Gatekkeper.

En 2019, Apple annonce que les logiciels devront être obligatoirement authentifiées pour fonctionner avec Catalina (macOS 10.17), qu’ils soient distribués sur le Mac App Store ou non. Pas d’authentification, pas de lancement, même pour les développeurs authentifiés. Et pas de contournement possible, contrairement à avant. L’objectif d’Apple est d’examiner chaque programme et de rassurer ses usagers, comme sur iOS, alors que cela pullule toujours du côté d'Android.

Apple a loupé un code malicieux

Mais voilà, les contrôles d’Apple ne sont pas infaillibles. Dans son billet, le blogueur explique que la firme a authentifié une fausse mise à jour d’Adobe Flash Player (qui n’est pourtant plus supporté par les systèmes d’exploitation Apple depuis plusieurs années). Dans cette fausse mise à jour se trouve un code malicieux de Shlayer, le fameux virus qui installe silencieusement des adwares à la chaîne.

Étant authentifié et signé, le virus a donc pu s’installer confortablement, jusqu’à ce qu’il soit découvert par plusieurs développeurs sur un site. L’information a été transmise à Apple qui a rapidement révoqué la licence développeur associée à ce code malveillant authentifié. Mais le mal semble avoir été fait, puisque d’autres logiciels malicieux bénéficiaient toujours d’une autorisation. Et macOS acceptait de les installer. Aïe.

Source : Objective-See