Avec macOS Mojave, Apple a introduit un nouvel ensemble de protections de la vie privée et des données personnelles avec TCC : Transparency, Content and Control (Transparence, Consentement et Contrôle).
L’un de ses buts est de protéger certains fichiers du Mac d’une exploitation par des applications qui n’en auraient pas le droit.
Jeff Johnson de Lapcat Software a découvert une vulnérabilité jour zéro, qui permet de passer outre TCC et de lire le contenu des fichiers protégés, sur macOS Mojave, Catalina, et même la bêta de Big Sur.
Cette vulnérabilité s’appuie sur deux erreurs de conception : les exceptions de TCC ne référencent pas le chemin d’une application, mais son identifiant de lot ; TCC ne vérifie pas suffisamment la signature du code d’une application.
Dans ces conditions, il est possible de créer une copie d’une application dans un autre endroit du disque, avec des ressources modifiées, qui garde les accès fichiers de l’application originale.
Johnson met à disposition un projet XCode de démonstration qui permet d’obtenir l’historique de Safari.
Ce qui choque, c’est que Johnson a informé Apple, en toute confidentialité, de l’existence de cette vulnérabilité en septembre 2019. Puis à nouveau en décembre 2019 à l’occasion de l’ouverture du programme de chasse aux bogues de l’entreprise.
En janvier, Apple l’informe qu’elle a l’intention d’adresser le problème au printemps 2020. En avril puis en juin, Apple prétend enquêter sur la vulnérabilité.
En d’autres termes, Apple n’a strictement rien fait depuis septembre 2019, ce qui incite Johnson à rompre le silence et informer le public. Johnson craint que la vulnérabilité ne soit pas corrigée au lancement de macOS Big Sur cet automne.
On attendrait une attitude bien différente de la part d’une entreprise qui se présente comme la championne de la protection de la vie privée, et qui ne s’est pas distinguée ces dernières années par la qualité du code de ses systèmes d »exploitation.