Microsoft a révélé les détails d’une vulnérabilité de sécurité récemment corrigée dans le système d’exploitation macOS d’Apple qui pourrait être utilisée comme arme par un acteur de la menace pour exposer les informations personnelles des utilisateurs.

Suivie sous le nom de CVE-2021-30970, la faille concerne un problème de logique dans le cadre de sécurité Transparence, consentement et contrôle (TCC), qui permet aux utilisateurs de configurer les paramètres de confidentialité de leurs applications et de fournir un accès aux fichiers protégés et aux données d’application. Le volet Sécurité et confidentialité de l’application Préférences Système de macOS sert de frontal à TCC.

L’équipe de recherche Microsoft 365 Defender, qui a signalé la faille à Apple le 15 juillet 2021, a surnommé la faille « powerdir ». Apple a résolu le problème dans le cadre des mises à jour macOS 11.6 et 12.1 publiées en décembre 2021 avec une gestion améliorée des états.

Bien qu’Apple applique une politique qui limite l’accès à TCC aux seules applications disposant d’un accès complet au disque, il est possible d’orchestrer une attaque dans laquelle une application malveillante pourrait contourner ses préférences de confidentialité pour récupérer des informations sensibles de la machine, permettant potentiellement à un adversaire d’accéder au microphone pour enregistrer des conversations privées ou capturer des captures d’écran d’informations sensibles affichées sur l’écran de l’utilisateur, comme il a expliqué Jonathan Bar Or de l’équipe de recherche Microsoft 365 Defender dans sa déclaration.

En d’autres termes, si un acteur malveillant obtient un accès complet au disque aux bases de données TCC, l’intrus pourrait le modifier pour accorder des autorisations arbitraires à n’importe quelle application de son choix, y compris la sienne, permettant ainsi à l’application de s’exécuter avec des configurations précédemment non consenties.

CVE-2021-30970 est la troisième vulnérabilité de contournement liée à TCC à être découverte et qui ont été corrigées par Apple. Puis, en mai 2021, la société a également corrigé une faille zero-day dans le même composant (CVE-2021-30713) qui pourrait permettre à un attaquant d’obtenir un accès complet au disque, un enregistrement d’écran ou d’autres autorisations sans le consentement explicite des utilisateurs.