En février, le chercheur en sécurité Jeff Johnson envoyait à Apple un rapport sur une faille de sécurité dans macOS Mojave. Huit mois plus tard, ne voyant rien venir de la part de Cupertino et constatant que la vulnérabilité est maintenant présente dans Catalina, de guerre lasse il a décidé de balancer les détails de sa découverte sur son blog.
La faille permet de contourner les mesures de protection de macOS, censées empêcher une application malveillante d'espionner l'utilisateur et son usage du Mac. Malgré ce bac à sable, les logiciels non autorisés peuvent avoir accès aux notifications de l'API File System Events, qui indiquent aux apps si le contenu d'un répertoire a été modifié. macOS protège des regards indiscrets des dossiers comme le bureau, Documents ou encore Téléchargements.
Une application sans autorisation spéciale peut tout de même obtenir ces informations. Un malandrin ne pourra pas lire ni modifier le contenu du fichier présent dans un répertoire protégé, mais il pourra observer en temps réel les changements opérés sur ces fichiers (création, modification, renommage, nouvel emplacement, suppression). Il verra ainsi quels sont les fichiers téléchargés, par exemple. Avec un peu d'huile de coude, il lui sera aussi possible de connaitre l'historique de navigation web de Safari.
Pour démontrer sa découverte, Jeff Johnson donne un exemple de code. Si la dangerosité de la faille est relativement modeste, il n'empêche qu'il s'agit d'un problème de sécurité. Le chercheur a décidé de la rendre publique après avoir appris que sa trouvaille ne serait pas éligible au programme de récompenses qu'Apple va mettre en place pour le Mac (lire : Sécurité : Apple va payer jusqu'à un million de dollars la faille iOS ou macOS).
Jeff Johnson n'est pourtant pas un inconnu pour Apple, plusieurs des failles qu'il a découvertes ont été corrigées par le constructeur. Il en a d'ailleurs été dûment remercié. Mais rien pour celle-ci… Le chercheur en a d'ailleurs deux autres en stock, toujours pour macOS.
