Apple a corrigé une vulnérabilité critique dans son système d’exploitation macOS qui pourrait être exploitée pour prendre des captures d’écran de l’ordinateur d’une personne et prendre des photos de son activité dans des applications ou lors de vidéoconférences à l’insu de cette personne.
Apple a corrigé la vulnérabilité – découverte par des chercheurs de la société de cybersécurité d’entreprise Jamf – dans la dernière version de macOS Big Sur 11.4, publiée lundi.
Les chercheurs ont déclaré: Ils ont découvert que le logiciel espion XCSSET utilisait la vulnérabilité, qui a été suivie comme CVE-2021-30713, dans le but de capturer des captures d’écran du bureau de l’utilisateur sans avoir besoin d’autorisations supplémentaires.
Les chercheurs ont ajouté: Cette activité a été découverte lors de l’analyse de XCSSET, qu’ils ont effectuée après avoir remarqué une augmentation significative des variables détectées qui ont été observées, et Apple n’a pas encore fourni de détails spécifiques sur la vulnérabilité dans son entrée dans la base de données CVE.
XCSSET a été découvert pour la première fois par Trend Micro en 2020, ciblant les développeurs Apple, en particulier les projets Xcode qu’ils utilisent pour programmer et créer des applications.
En infectant ces projets de développement d’applications, les développeurs distribuent involontairement des logiciels malveillants à leurs utilisateurs, ce que les chercheurs de Trend Micro décrivent comme une attaque de la chaîne d’approvisionnement.
Les logiciels malveillants sont en constante évolution, avec de nouvelles variantes ciblant également les Mac fonctionnant sur la dernière puce M1.
Une fois que le logiciel malveillant s’exécute sur l’ordinateur de la victime, il vole les cookies du navigateur Safari pour accéder aux comptes en ligne de la victime et installe une version mise à niveau de Safari, permettant aux attaquants de modifier et de s’introduire sur presque tous les sites Web.
Il exploitait également un exploit jusqu’alors inconnu pour capturer secrètement des captures d’écran de l’écran de la victime.
MacOS est censé demander la permission à l’utilisateur avant d’autoriser une application – malveillante ou non – à enregistrer un écran, accéder à un microphone ou une webcam, ou ouvrir le stockage d’un utilisateur.
Mais le logiciel malveillant contourne ces autorisations en injectant un code malveillant dans des applications légitimes.
Les chercheurs de Jamf ont expliqué que le logiciel malveillant recherche d’autres applications via l’ordinateur de la victime, qui reçoivent fréquemment des autorisations de partage d’écran, telles que Zoom, WhatsApp et Slack, et injecte à ces applications un code d’enregistrement d’écran.
Cela permet à un code malveillant de télécharger l’application légitime et d’obtenir ses autorisations via macOS.
Le logiciel malveillant signe le nouveau package d’application avec un nouveau certificat pour éviter d’être signalé via les défenses de sécurité qu’Apple a incluses dans macOS.
Les chercheurs ont déclaré: Le programme malveillant utilisé pour contourner les autorisations dans le but de capturer des captures d’écran du bureau de l’utilisateur, mais ils ont averti que cela ne se limite pas à l’enregistrement d’écran.
L’erreur peut avoir été utilisée pour accéder au microphone, à la webcam de la victime ou pour capturer des frappes, telles que des mots de passe ou des numéros de carte de crédit.
On ne sait pas combien de logiciels malveillants Mac ont réussi à pénétrer à l’aide de cette technologie, mais Apple a confirmé avoir corrigé le bogue dans macOS Big Sur 11.4.