Un bug dans une API de développeur permet à des applications malveillantes installées sur macOS Mojave d’avoir accès à un dossier normalement protégé à partir duquel les attaquants peuvent extraire les données de l’historique de navigation de Safari.

 

Le bug concerne toutes les versions de macOS Mojave et a été découvert la semaine dernière par Jeff Johnson, développeur des applications Underpass Mac et iOS et de l’extension StopTheMadness de Safari.


“Sur Mojave, l’accès à certains dossiers est restreint, ceux-ci sont bloqués par défaut”, a expliqué Johnson dans un article de blog la semaine dernière.“Par exemple, ~ / Library / Safari. Dans [l’application] Terminal, vous ne pouvez même pas répertorier le contenu de ce dossier.”

Johnson dit que par défaut, Mojave fournit l’accès à ce dossier uniquement à quelques applications système sélectionnées, telles que le Finder.

“Cependant, j’ai découvert un moyen de contourner ces protections dans Mojave et de permettre aux applications de regarder à l’intérieur de ~ / Library / Safari sans obtenir la permission du système ou de l’utilisateur”, a déclaré le développeur.

“Il n’y a aucun dialogue d’autorisation, « It Just Works™. » De cette manière, une application malveillante pourrait violer secrètement la vie privée d’un utilisateur en examinant son historique de navigation sur le web.”

Contacté par ZDNet via Twitter, Johnson a décrit la source du bug uniquement comme “un bug dans une API de développeur”. Il a refusé de partager d’autres détails, rappelant que le problème n’avait pas encore été corrigé et qu’il ne voulait pas mettre les utilisateurs de macOS en danger.

Johnson a déclaré avoir signalé le problème à l’équipe de sécurité d’Apple, qui avait officiellement approuvé son rapport.



“Ils ont dit qu’ils avaient consulté mon rapport et qu’ils enquêtaient”, a déclaré le développeur à ZDNet. «C’est une réponse standard. En général, ils ne fournissent aucune mise à jour une fois que vous leur avez signalé un problème. Je ne m’attends donc plus à ce qu’ils ne communiquent pas tant qu’ils ne l’auront pas corrigé.»

“Il n’y a pas d’atténuation que je sache”, a ajouté Johnson. “Mais le bug ne peut être exploité que par une application malveillante s’exécutant sur votre système. Il n’y a pas de moyen d’exploiter à distance.”

Mais alors que Johnson refusait de partager d’autres détails – pour le moment -, il a précisé que le bug qu’il avait découvert n’était pas lié à celui que Bob Rudis, chercheur en sécurité chez Rapid7, avait découvert partagé en ligne la semaine dernière.



“Le problème SSH est différent du mien”, a déclaré Johnson à ZDNet.

Cet article est une traduction de “New macOS security flaw lets malicious apps steal your Safari browsing history” initialement publié sur ZDNet.com

Let a comment