Le chercheur en sécurité Filippo Cavallarin a décidé de divulguer publiquement ce qu'il présente comme un moyen simple de contourner la protection Gatekeeper dans le but d'exécuter du code non sûr sur macOS, sans la demande d'autorisation habituelle de l'utilisateur.

Gatekeeper est censé alerter les utilisateurs contre toute installation d'une application non signée. Il y a une vérification des applications avant d'autoriser leur exécution.

Néanmoins, le problème mis au jour exploite le fait que " Gatekeeper considère les disques externes et les partages réseau comme des emplacements sûrs et permet à toutes les applications qu'ils contiennent de s'exécuter. "

Filippo Cavallarin explique associer cette spécificité de conception avec deux fonctionnalités légitimes de macOS. Elles se rapportent au montage automatique d'un partage réseau avec une URL débutant par " /net/ " et la prise en charge d'archives zip contenant des liens symboliques qui ne sont pas vérifiés.

Le chercheur illustre un scénario d'exploitation dans la vidéo ci-dessous :

Filippo Cavallarin déclare avoir informé Apple du problème et avoir respecté un délai d'attente de 90 jours avant de procéder à une divulgation publique. Une attaque serait fonctionnelle avec macOS 10.14.5 (Mojave) et versions antérieures.