Après une annonce en 2019, Apple a mis en pratique sa procédure pour des applications macOS notariées (avant distribution) qui est distincte du processus de révision des apps (App Review). C'est un système automatisé qui analyse des applications pour rechercher des contenus malveillants, vérifier des problèmes de signature de code. Un ticket est alors généré si tout est bon.
Même lorsqu'elles sont distribuées en dehors du Mac App Store, les applications doivent être notariées. Cela permet ultérieurement à Gatekeeper de veiller au grain et d'afficher une information idoine - issue du ticket - pour l'utilisateur avant une exécution. Si une application n'a pas été notariée, elle est bloquée par macOS.
Reste que selon le chercheur en sécurité Patrick Wardle, Apple a approuvé une application contenant un malware du nom de Shlayer. À sa connaissance, c'est la première fois qu'Apple a notarié par erreur un malware depuis le début de cette nouvelle procédure.
D'après Kaspersky Lab, Shlayer est un cheval de Troie de type downloader. Son principal objectif est de rapatrier et installer diverses formes d'adwares. Il s'agirait de la menace la plus courante sur la plateforme macOS. L'erreur d'Apple est alors d'autant plus étonnante.
So I accidentally found a thing https://t.co/WVL86rYzrm
— Peter H. Dantini (@PokeCaptain) August 31, 2020
Patrick Wardle a été alerté par la découverte fortuite d'un étudiant du nom de Peter Dantini concernant un site web homebrew.sh (jouant sur l'amalgame avec le site légitime brew.sh pour le logiciel Homebrew de gestion de paquets pour macOS). Il hébergeait une campagne d'adware avec une redirection pour une soi-disant mise à jour... Adobe Flash Player.
C'est cette prétendue mise à jour qui était le vecteur de Shlayer, et ce alors même qu'elle avait reçu l'approbation d'Apple en étant notariée. Patrick Wardle a contacté Apple qui a rapidement révoqué les certificats de signature de code du développeur utilisés pour signer les charges utiles malveillantes.
Stupeur néanmoins, la campagne d'adware était toujours active dimanche avec la diffusion de nouvelles charges utiles et encore notariées. Apple a une nouvelle fois réagi.