Les malwares sur Mac peuvent facilement contourner le gestionnaire de tâches en arrière-plan d’Apple, affirme un chercheur en sécurité

Mac malware can easily bypass Apple’s Background Task Manager, says security researcher

macOS dispose de plusieurs outils intégrés pour détecter les logiciels malveillants sur Mac, avec l’ajout de Background Task Manager l’année dernière. Cependant, un chercheur en sécurité affirme que cela peut être contourné facilement et qu’Apple n’a pas pris en compte ses recommandations pour le corriger.

Patrick Wardle a présenté ses conclusions lors de la conférence des hackers Defcon, prenant la décision inhabituelle de le faire sans prévenir Apple au préalable…

La protection en trois couches d’Apple contre les logiciels malveillants sur Mac

Apple dispose d’un système en trois couches pour protéger les Mac contre les logiciels malveillants.

Tout d’abord, il cherche à empêcher l’installation de logiciels malveillants. Il le fait en vérifiant les applications dans le Mac App Store et en utilisant Gatekeeper avec Notarization pour s’assurer que toutes les autres applications sont signées par un développeur reconnu.

Ensuite, si le logiciel malveillant parvient à passer cette couche, il utilise XProtect pour le reconnaître et le bloquer.

macOS comprend une technologie antivirus intégrée appelée XProtect pour la détection et la suppression des logiciels malveillants basée sur des signatures. Le système utilise des signatures YARA, un outil utilisé pour la détection basée sur des signatures de logiciels malveillants, que Apple met régulièrement à jour. Apple surveille les nouvelles infections et souches de logiciels malveillants et met à jour les signatures automatiquement, indépendamment des mises à jour système, pour aider à protéger un Mac contre les infections par des logiciels malveillants. XProtect détecte et bloque automatiquement l’exécution des logiciels malveillants connus.

Enfin, même si le logiciel malveillant s’est déjà exécuté une fois, Apple cherche à l’empêcher de le faire à l’avenir. L’entreprise met régulièrement à jour XProtect pour rechercher les logiciels malveillants nouvellement identifiés. De plus, Apple a introduit l’année dernière un gestionnaire de tâches en arrière-plan qui recherche la forme de logiciel malveillant la plus dangereuse : les applications persistantes.

Gestionnaire de tâches en arrière-plan

Certains logiciels malveillants s’exécutent une fois, par exemple pour voler des données personnelles, puis s’arrêtent. Mais la forme la plus dangereuse de logiciels malveillants persiste. Cette forme de logiciel malveillant peut surveiller l’activité de l’utilisateur, télécharger de nouveaux éléments à partir du serveur d’un attaquant, et plus encore.

Apple cherche à détecter cela en recherchant l’installation de nouvelles tâches persistantes et en informant à la fois les utilisateurs et les outils de sécurité tiers exécutés sur le Mac. Comme de nombreuses applications légitimes créent des tâches persistantes, vous ne devriez pas vous inquiéter si vous installez une nouvelle application depuis le Mac App Store, ou d’un développeur de confiance, et que vous recevez cette alerte.

Mais si une alerte surgit de nulle part, c’est un signe que votre Mac a peut-être été compromis.

Mais cela peut être contourné facilement

Le chercheur en sécurité Patrick Wardle a notifié Apple l’année dernière d’un certain nombre de lacunes qu’il a découvertes dans le fonctionnement de cet outil. Il sait ce que cela implique de mettre en place ce type de protection, car il avait précédemment créé son propre outil pour effectuer la même tâche.

Mais selon Wired, Apple n’a pas traité les problèmes plus fondamentaux qu’il a abordés avec l’entreprise.

Lorsque Background Task Manager a été lancé pour la première fois, Wardle a découvert quelques problèmes plus basiques avec l’outil qui empêchaient les notifications d’événements de persistance de fonctionner. Il les a signalés à Apple, et l’entreprise a corrigé l’erreur. Mais elle n’a pas identifié des problèmes plus profonds avec l’outil.

« Nous sommes allés de l’avant et nous avons fini par régler ce problème, mais c’était comme mettre un peu de ruban adhésif sur un avion qui s’écrase », explique Wardle. « Ils n’ont pas réalisé que la fonctionnalité avait besoin de beaucoup de travail. »

Contournements du gestionnaire de tâches en arrière-plan révélés

Normalement, Wardle ne partagerait les détails des failles qu’après qu’Apple les ait corrigées. Dans ce cas, cependant, il affirme que la société de Cupertino semble ne pas vouloir le faire, et il a donc choisi de partager lors de la conférence des hackers Defcon les contournements qu’il a découverts.

L’un d’entre eux nécessite un accès root au Mac ciblé, mais les deux autres n’en ont pas besoin.

Wardle a également trouvé deux méthodes qui ne nécessitent pas d’accès root pour désactiver les notifications de persistance que Background Task Manager est censé envoyer à l’utilisateur et aux produits de surveillance de sécurité. L’une de ces failles exploite un bug dans la façon dont le système d’alerte communique avec le noyau du système d’exploitation de l’ordinateur. L’autre exploite une fonctionnalité qui permet aux utilisateurs, même sans privilèges système étendus, de mettre les processus en veille. Wardle a découvert que cette fonctionnalité peut être manipulée pour perturber les notifications de persistance avant qu’elles n’atteignent l’utilisateur.

Il a choisi cette voie, dit-il, car le gestionnaire de tâches en arrière-plan offre actuellement une fausse impression de sécurité aux utilisateurs et aux entreprises de sécurité, qui pourraient penser que cet aspect de la protection contre les logiciels malveillants sur Mac est déjà mis en place.

Photo : Philipp Katzenberger/Unsplash

Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video