Des détails ont été révélés sur une vulnérabilité de sécurité désormais corrigée dans iOS et macOS d’Apple qui, si elle est exploitée avec succès, pourrait contourner le cadre de transparence, de consentement et de contrôle (TCC) et entraîner un accès non autorisé à des informations sensibles.
La faille, suivie comme CVE-2024-44131 (score CVSS : 5,3), réside dans le composant FileProvider, par Apple, et a été corrigé avec une validation améliorée des liens symboliques (liens symboliques) dans iOS 18, iPadOS 18 et macOS Sequoia 15.
Jamf Threat Labs, qui a découvert et signalé la faille, a déclaré que le contournement du TCC pourrait être exploité par un pirate installé sur le système pour récupérer des données sensibles à l’insu des utilisateurs.
TCC sert de protection de sécurité essentielle dans les appareils Apple, offrant aux utilisateurs finaux un moyen d’autoriser ou de refuser une demande d’applications pour accéder à des données sensibles, telles que la localisation GPS, les contacts et les photos, entre autres.
« Ce contournement TCC permet un accès non autorisé aux fichiers et dossiers, aux données de santé, au microphone ou à la caméra, et bien plus encore, sans alerter les utilisateurs », a indiqué la société. « Cela mine la confiance des utilisateurs dans la sécurité des appareils iOS et expose les données personnelles à des risques. »
À la base, la vulnérabilité permet à une application malveillante exécutée en arrière-plan d’intercepter les actions effectuées par l’utilisateur pour copier ou déplacer des fichiers dans l’application Fichiers et de les rediriger vers un emplacement sous son contrôle.
Ce détournement fonctionne en tirant parti des privilèges élevés de fileproviderd, un démon qui gère les opérations sur les fichiers associées à iCloud et à d’autres gestionnaires de fichiers cloud tiers, pour déplacer les fichiers, après quoi ils peuvent être téléchargés sur un serveur distant.
« Plus précisément, lorsqu’un utilisateur déplace ou copie des fichiers ou des répertoires à l’aide de Files.app dans un répertoire accessible par une application malveillante exécutée en arrière-plan, l’attaquant peut manipuler des liens symboliques pour tromper l’application Files », a déclaré Jamf.
« La nouvelle méthode d’attaque par lien symbolique copie d’abord un fichier innocent, fournissant un signal détectable à un processus malveillant indiquant que la copie a commencé. Ensuite, un lien symbolique est inséré une fois que le processus de copie est déjà en cours, contournant ainsi la vérification du lien symbolique. »
Un attaquant pourrait donc utiliser la méthode pour copier, déplacer ou même supprimer divers fichiers et répertoires sous le chemin « /var/mobile/Library/Mobile Documents/ » pour accéder aux données de sauvegarde iCloud associées aux applications propriétaires et tierces et exfiltrez-les.
Ce qui est important à propos de cette faille, c’est qu’elle sape entièrement le cadre TCC et ne déclenche aucune invite à l’utilisateur. Cela dit, le type de données accessibles dépend du processus système qui exécute l’opération sur le fichier.
« La gravité de ces vulnérabilités dépend des privilèges du processus ciblé », a déclaré Jamf. « Cela révèle une lacune dans l’application du contrôle d’accès pour certains types de données, car toutes les données ne peuvent pas être extraites sans alerte en raison de cette situation de concurrence. »
« Par exemple, les données contenues dans des dossiers protégés par des UUID attribués de manière aléatoire et les données récupérées via des API spécifiques ne sont pas affectées par ce type d’attaque. »
Ce développement intervient alors qu’Apple a publié des mises à jour pour tous ses logiciels afin de résoudre plusieurs problèmes, notamment quatre failles dans WebKit qui pourraient entraîner une corruption de la mémoire ou un crash de processus, et une vulnérabilité logique dans Audio (CVE-2024-54529) qui pourrait permettre à une application de exécuter du code arbitraire avec les privilèges du noyau.
Le fabricant de l’iPhone a également corrigé un bug dans Safari (CVE-2024-44246) qui pourrait permettre à un site Web de glaner l’adresse IP d’origine lors de son ajout à la liste de lecture sur un appareil sur lequel le relais privé est activé. Apple a déclaré avoir résolu le problème grâce à « un routage amélioré des requêtes provenant de Safari ».