sécurité macOS

Apple a supprimé une fonctionnalité controversée de son système d’exploitation macOS qui permettait aux propres applications propriétaires de l’entreprise de contourner les filtres de contenu, les VPN et les pare-feu tiers.

Appelé «ContentFilterExclusionList», il comprenait une liste de jusqu’à 50 applications Apple comme iCloud, Maps, Music, FaceTime, HomeKit, l’App Store et son service de mise à jour logicielle qui ont été acheminées via Network Extension Framework, contournant efficacement les protections par pare-feu.

Cette liste d’exclusion a été nettoyée à partir de macOS 11.2 beta 2.

Le problème est apparu pour la première fois en octobre dernier après la sortie de macOS Big Sur, suscitant des inquiétudes chez les chercheurs en sécurité qui ont déclaré que la fonctionnalité était prête à être abusée, ajoutant qu’elle pourrait être exploitée par un attaquant pour exfiltrer des données sensibles en les superposant à des applications Apple légitimes. inclus dans la liste, puis contourner les pare-feu et les logiciels de sécurité.

“Après beaucoup de mauvaise presse et beaucoup de commentaires / rapports de bogues à Apple de la part de développeurs comme moi, il semble que les esprits plus sages (plus soucieux de la sécurité) de Cupertino aient prévalu,” m’a dit Patrick Wardle, chercheur principal en sécurité chez Jamf, la semaine dernière.

pare-feu macOS

Des chercheurs, dont Wardle, ont découvert l’année dernière que les applications d’Apple étaient exclues de NEFilterDataProvider, un filtre de contenu réseau qui permet aux pare-feu et aux applications VPN telles que LuLu et Little Snitch de surveiller et de contrôler le trafic de données à partir des applications installées sur le système.

Wardle a montré un exemple de la façon dont des applications malveillantes pouvaient exploiter ce contournement du pare-feu pour transmettre des données à un serveur contrôlé par un attaquant à l’aide d’un simple script Python qui bloquait le trafic sur une application exemptée Apple malgré la configuration de LuLu et Little Snitch pour bloquer toutes les connexions sortantes sur un Mac exécutant Big Sur.

Avec ce nouveau changement, les pare-feu de filtre de socket tels que LuLu peuvent désormais filtrer / bloquer de manière complète tout le trafic réseau, y compris ceux des applications Apple.

Les mises à jour viennent comme Apple support obsolète pour les extensions de noyau de réseau en 2019 en faveur de Framework d’extensions de réseau.

Nous avons contacté Apple et nous mettrons à jour l’histoire si nous avons une réponse.



Leave a Reply