Microsoft a divulgué des détails sur une faille de sécurité désormais corrigée dans le cadre de transparence, de consentement et de contrôle (TCC) d’Apple dans macOS qui a probablement été exploitée pour contourner les préférences de confidentialité d’un utilisateur et accéder aux données.
La faille, nommée HM Surf par le géant de la technologie, est identifiée comme CVE-2024-44133. C’était adressé par Apple dans le cadre de macOS Sequoia 15 en supprimant le code vulnérable.
HM Surf « implique la suppression de la protection TCC pour le répertoire du navigateur Safari et la modification d’un fichier de configuration dans ledit répertoire pour accéder aux données de l’utilisateur, y compris les pages consultées, la caméra, le microphone et l’emplacement de l’appareil, sans le consentement de l’utilisateur », Jonathan Bar Or de l’équipe Microsoft Threat Intelligence dit.
Microsoft a déclaré que les nouvelles protections sont limitées au navigateur Safari d’Apple et qu’il travaille avec d’autres principaux fournisseurs de navigateurs pour explorer davantage les avantages du renforcement des fichiers de configuration locaux.
HM Surf fait suite à la découverte par Microsoft de failles Apple macOS telles que Shrootless, powerdir, Achilles et Migraine, qui pourraient permettre à des acteurs malveillants de contourner les mesures de sécurité.
Bien que TCC soit un cadre de sécurité qui empêche les applications d’accéder aux informations personnelles des utilisateurs sans leur consentement, le bug récemment découvert pourrait permettre aux attaquants de contourner cette exigence et d’accéder aux services de localisation, au carnet d’adresses, à la caméra, au microphone, au répertoire de téléchargements, etc. d’une manière non autorisée.
L’accès est régi par un ensemble de droits, les propres applications d’Apple comme Safari ayant la possibilité de contourner complètement TCC en utilisant le droit « com.apple.private.tcc.allow ».
Bien que cela permette à Safari d’accéder librement aux autorisations sensibles, il intègre également un nouveau mécanisme de sécurité appelé Hardened Runtime qui rend difficile l’exécution de code arbitraire dans le contexte du navigateur Web.
Cela dit, lorsque les utilisateurs visitent pour la première fois un site Web qui demande l’accès à la localisation ou à la caméra, Safari demande l’accès via une fenêtre contextuelle de type TCC. Ces droits sont stockés site par site Web dans divers fichiers situés dans le répertoire « ~/Bibliothèque/Safari ».
L’exploit HM Surf conçu par Microsoft repose sur l’exécution des étapes suivantes :
- Changer le répertoire personnel de l’utilisateur actuel avec le dscl utilitaire, une étape qui ne nécessite pas d’accès TCC dans macOS Sonoma
- Modification des fichiers sensibles (par exemple, PerSitePreferences.db) dans « ~/Library/Safari » sous le véritable répertoire personnel de l’utilisateur
- Le fait de rétablir le répertoire personnel dans le répertoire d’origine oblige Safari à utiliser les fichiers modifiés.
- Lancer Safari pour ouvrir une page Web qui prend un instantané via l’appareil photo de l’appareil et saisit l’emplacement
L’attaque pourrait être étendue davantage pour sauvegarder l’intégralité du flux d’une caméra ou capturer furtivement l’audio via le microphone du Mac, a déclaré Microsoft. Les navigateurs Web tiers ne souffrent pas de ce problème car ils ne disposent pas des mêmes droits privés que les applications Apple.
Microsoft a noté avoir observé une activité suspecte associée à une menace connue de logiciel publicitaire macOS nommée AdLoad exploitant probablement la vulnérabilité, ce qui rend impératif que les utilisateurs prennent des mesures pour appliquer les dernières mises à jour.
« Comme nous n’avons pas pu observer les étapes suivies qui ont conduit à cette activité, nous ne pouvons pas déterminer pleinement si la campagne AdLoad exploite elle-même la vulnérabilité de surf de HM », a déclaré Bar Or. « Le fait que des attaquants utilisent une méthode similaire pour déployer une menace répandue soulève l’importance d’avoir une protection contre les attaques utilisant cette technique. »