Un hacker réussit à prendre le contrôle de l'affichage de la Touch Bar via Safari, Réactions à la publication du 15/03/2018

[Lionel]

L'an dernier lors du concours de hacking Pwn2Own, Samuel Groß avait réussi à prendre le contrôle de la Touch Bar d'un portable Apple à partir de Safari.
Malgré le comblement de la faille permettant cet exploit, il a réussi à le rééditer cette année.

Il a pour cela commencé par exploiter un bug d'optimisation JIT dans le navigateur puis un bug logique de macOS, le tout lui ayant permis de sortir de la SandBox. Il a ensuite pu charger une extension de noyau modifiée.

Prendre le contrôle de la Touch Bar est sa manière de signer ses exploits mais, dans les faits, sa méthode permet en théorie de prendre un contrôle avancé du Mac ciblé. Il s'agit donc d'une faille importante qu'Apple comblera certainement très vite.

[MàJ] Deux autres exploits concernant macOS et Safari ont été montrés. Dans les deux cas ils conduisent à une escalade de privilèges après avoir permis de sortir du "bac à sable".

Lien vers le billet original

[olrik]

Il a pris le contrôle en étant devant le Mac ou à distance ? Car c'est pas pareil...

[alpseb]

il peut hacker le truc pour remettre une vrai touche ESC physique ?

[SartMatt]

Il a pris le contrôle en étant devant le Mac ou à distance ? Car c'est pas pareil...

À partir de Safari, donc une simple page web.
En étant sur la machine, ça ne serait pas un exploit d'arriver à afficher quelque chose sur la Touch Bar, puisqu'il y a des API officielles permettant de la contrôler...

Et comme le souligne Lionel, ce qui est grave, ce n'est pas le fait d'avoir pu contrôler la Touch Bar depuis une page web (en fait, ça, c'est un truc qu'Apple permettra peut-être un jour pour enrichir les applications web...). C'est qu'il a pu charger une extension du noyau depuis une page web. Une extension du noyau, c'est du code qui va s'exécuter avec le niveau de privilège le plus élevé. À partir de là, il peut faire à peu près ce qu'il veut de la machine...

Afficher un message sur la TB, c'est l'exemple gentil et rigolo. Mais ça pourrait aussi être effacer toutes les données par exemple...

[Skan]

C'est génial pour afficher de la pub!

[ekami]

Il a pris le contrôle en étant devant le Mac ou à distance ? Car c'est pas pareil...

À partir de Safari, donc une simple page web.
En étant sur la machine, ça ne serait pas un exploit d'arriver à afficher quelque chose sur la Touch Bar, puisqu'il y a des API officielles permettant de la contrôler...

Et comme le souligne Lionel, ce qui est grave, ce n'est pas le fait d'avoir pu contrôler la Touch Bar depuis une page web (en fait, ça, c'est un truc qu'Apple permettra peut-être un jour pour enrichir les applications web...). C'est qu'il a pu charger une extension du noyau depuis une page web. Une extension du noyau, c'est du code qui va s'exécuter avec le niveau de privilège le plus élevé. À partir de là, il peut faire à peu près ce qu'il veut de la machine...

Afficher un message sur la TB, c'est l'exemple gentil et rigolo. Mais ça pourrait aussi être effacer toutes les données par exemple...

C'est effarant !
Comment un navigateur censé s'exécuter dans son bac à sable peut arriver à permettre l'exécution d'une extension au noyau ?
C'est tout l'objet de ce hack, mais est que ça dénote une erreur de conception fondamentale de la part d'Apple en matière de sandboxing ?

[SartMatt]

C'est tout l'objet de ce hack, mais est que ça dénote une erreur de conception fondamentale de la part d'Apple en matière de sandboxing ?

Non, il s'agit sans doute plutôt d'une cascade de bugs (à priori, trois dans le cas présent) plus que d'une erreur de conception.

[_Panta]

Em marge de l'article cité dans la news, on note :
" We did have additional contestants register, but unfortunately, they were forced to withdraw from the competition for various reasons – some of which involve yesterday’s bevy of patches."

Les patchs Spectre & Meltdown ont servi à quelque chose apparement, sera-ce suffisant c'est un autre sujet.

Et si j'ai bien totu compris, la faille est sans Safari, pas dans la TB ; Safari ayant le droit de modifier certains aspects de la TB, l'escalade vient d'une escalade des droits par trois fois. L'enclave TB semble toujours intègre.

Ce message a été modifié par _Panta - 15 Mar 2018, 18:43.

[SartMatt]

Et si j'ai bien totu compris, la faille est sans Safari, pas dans la TB ; Safari ayant le droit de modifier certains aspects de la TB, l'escalade vient d'une escalade des droits par trois fois. L'enclave TB semble toujours intègre.

Vu qu'il a chargé une extension kernel, il n'est pas passé par les droits dont bénéficie Safari pour l'accès à la TB. Outre une faille dans Safari (au niveau du moteur JavaScript), il y a des failles au niveau du système qui ont permis de sortir de la sandbox et d'escalader les priviléges.

Et encore une fois, c'est bien ça le fond du problème, pas le fait d'avoir réussi à mettre un message sur la TB. L'accès à la TB, fusse-t-il non autorisé, c'est vraiment accessoire, ça ne permet pas de faire grand chose de plus que d'afficher un message ou de perturber le fonctionnement des touches virtuelles. Le problème, c'est d'avoir un accès au noyau depuis une page web. Ça c'est quasiment de l'open-bar.

Pour faire une bonne vieille analogie automobile, c'est comme si un mec piratait la voiture et que pour le montrer, il se contente de la déplacer de 20 cm. Le problème n'est pas le fait qu'il ait déplacé la voiture de 20 cm (ça il aurait pu le faire autrement...). Le problème est qu'il a réussi à la démarrer.

[_Panta]

c'est bien ça le fond du problème, pas le fait d'avoir réussi à mettre un message sur la TB. L'accès à la TB, fusse-t-il non autorisé, c'est vraiment accessoire, ça ne permet pas de faire grand chose de plus que d'afficher un message ou de perturber le fonctionnement des touches virtuelles.

Oui je trouvais ça "presque anodin" (pas bien-pas bien la faille, mais pas non plus un exploit de la mort qui tue)

Le problème, c'est d'avoir un accès au noyau depuis une page web. Ça c'est quasiment de l'open-bar.

Celui la oui c'est un " exploit de la mort qui tue"

Ce message a été modifié par _Panta - 15 Mar 2018, 19:12.

[__otto__]

Il y a des failles à tout les niveaux d'exécution que ce soit volontaire (NSA et co) ou pure idiotie... et ca passe par les software, les libs, les protocoles (foireux) et implémentation douteuse, l'OS (Apple en ce moment n'est pas à la fête! ) , le kernel, les drivers, l'EFI, les CPUs....

Tout ceci revient à interconnécter plein d'objets qui ne sont que des passoires... Bye bye la vie privé!!!

[iAPX]

Et si j'ai bien totu compris, la faille est sans Safari, pas dans la TB ; Safari ayant le droit de modifier certains aspects de la TB, l'escalade vient d'une escalade des droits par trois fois. L'enclave TB semble toujours intègre.

Vu qu'il a chargé une extension kernel, il n'est pas passé par les droits dont bénéficie Safari pour l'accès à la TB. Outre une faille dans Safari (au niveau du moteur JavaScript), il y a des failles au niveau du système qui ont permis de sortir de la sandbox et d'escalader les priviléges.

Et encore une fois, c'est bien ça le fond du problème, pas le fait d'avoir réussi à mettre un message sur la TB. L'accès à la TB, fusse-t-il non autorisé, c'est vraiment accessoire, ça ne permet pas de faire grand chose de plus que d'afficher un message ou de perturber le fonctionnement des touches virtuelles. Le problème, c'est d'avoir un accès au noyau depuis une page web. Ça c'est quasiment de l'open-bar.

Pour faire une bonne vieille analogie automobile, c'est comme si un mec piratait la voiture et que pour le montrer, il se contente de la déplacer de 20 cm. Le problème n'est pas le fait qu'il ait déplacé la voiture de 20 cm (ça il aurait pu le faire autrement...). Le problème est qu'il a réussi à la démarrer.

+1 Safari a un bon historique de failles de sécurité, et celle-là est gratinée, car injecter un driver à distance c'est de la pure folie, c'est d'ailleurs ce qui conviendrait parfaitement pour complémenter les failles AMD de cette semaine pour pouvoir "pourrir" tout l'ensemble définitivement (et probablement silencieusement), sans quitter son canapé et aucune autre possibilité que de se débarrasser de la machine pour se retrouver en sécurité!

Comme quoi, des failles qui paraissent inexploitables à certains, associées à d'autres, permettent de monter les enchères un peu plus haut. L'escalade est mon ami

Ce message a été modifié par iAPX - 16 Mar 2018, 01:25.

[Mayeric]

[Mauvais thread désolé]

Ce message a été modifié par Mayeric - 16 Mar 2018, 09:07.

[yponomeute]

Et si j'ai bien totu compris, la faille est sans Safari, pas dans la TB ; Safari ayant le droit de modifier certains aspects de la TB, l'escalade vient d'une escalade des droits par trois fois. L'enclave TB semble toujours intègre.

Vu qu'il a chargé une extension kernel, il n'est pas passé par les droits dont bénéficie Safari pour l'accès à la TB. Outre une faille dans Safari (au niveau du moteur JavaScript), il y a des failles au niveau du système qui ont permis de sortir de la sandbox et d'escalader les priviléges.

Et encore une fois, c'est bien ça le fond du problème, pas le fait d'avoir réussi à mettre un message sur la TB. L'accès à la TB, fusse-t-il non autorisé, c'est vraiment accessoire, ça ne permet pas de faire grand chose de plus que d'afficher un message ou de perturber le fonctionnement des touches virtuelles. Le problème, c'est d'avoir un accès au noyau depuis une page web. Ça c'est quasiment de l'open-bar.

Pour faire une bonne vieille analogie automobile, c'est comme si un mec piratait la voiture et que pour le montrer, il se contente de la déplacer de 20 cm. Le problème n'est pas le fait qu'il ait déplacé la voiture de 20 cm (ça il aurait pu le faire autrement...). Le problème est qu'il a réussi à la démarrer.

+1 Safari a un bon historique de failles de sécurité, et celle-là est gratinée, car injecter un driver à distance c'est de la pure folie, c'est d'ailleurs ce qui conviendrait parfaitement pour complémenter les failles AMD de cette semaine pour pouvoir "pourrir" tout l'ensemble définitivement (et probablement silencieusement), sans quitter son canapé et aucune autre possibilité que de se débarrasser de la machine pour se retrouver en sécurité!

Comme quoi, des failles qui paraissent inexploitables à certains, associées à d'autres, permettent de monter les enchères un peu plus haut. L'escalade est mon ami

C'est exactement ça, une faille qu'on analyse de manière isolée peut sembler anodine et non exploitable, alors que combinée à d'autres failles c'est le petit truc qui va faire qu'on arrive à un "exploit".
C'est une piqure de rappel pour tous ceux qui pensent qu'il existe des failles avec lesquelles on ne risque rien.
On peut faire une analogie avec la traversée à sec d'une rivière. La faille c'est le petit rocher qui sort de l'eau. Avec un seul petit rocher qui sort de l'eau on ne peut pas traverser la rivière, mais si une multitude de rochers sortent de l'eau on va arriver à trouver un chemin pour traverser en sautant d'un rocher à l'autre.

[broitman]

C'est fini de la relative inviolabilite des macs

trop de macs tue les macs: tous ceux qui voulaient se proteger ont achete des Macs sans se proteger, resultat: le Mac est devenue une vraie passoire (payante, car les proprietaires ont stockes tous leurs tresors sur leur Mac)

[scoch]

C'est bien la preuve que Flash est devenu inutile

[Licorne31]

C'est fini de la relative inviolabilite des macs

trop de macs tue les macs: tous ceux qui voulaient se proteger ont achete des Macs sans se proteger, resultat: le Mac est devenue une vraie passoire (payante, car les proprietaires ont stockes tous leurs tresors sur leur Mac)

Le Mac n'est pas devenu une passoire, il l'a toujours été, seulement, maintenant qu'il est devenu rentable de trouver les trous, il y en a qui les cherchent, et qui les trouvent!
Avant, ce n'était pas vraiment rentable de chercher les trous, donc on ne les trouvait pas (ou alors, par hasard, et même dans ce cas, on investissait rarement pour les exploiter), mais ça ne veut pas dire qu'il n'y en avait pas...

Pour ceux qui croient que les Macs ont été jadis invulnérables : https://nakedsecurity.sophos.com/2011/10/03...alware-history/

[yponomeute]

Pour être en sécurité il faut utiliser Windows 3.11, vu le jeune âge des hackers, ils ne savent même pas que ça a existé un jour

[Licorne31]

Pour être en sécurité il faut utiliser Windows 3.11, vu le jeune âge des hackers, ils ne savent même pas que ça a existé un jour

Vu le nombre de véroles qui existaient sous MS-DOS, ta proposition me semble équivalente à "la variole a disparu, donc les souches conservées en laboratoire ne servent plus à rien, jetons donc les boites de Pétri dans la rivière la plus proche".

[ekami]

C'est incroyable: d'un côté des calculateurs qui ne se trompent pas (sauf évènement exceptionnel quand un rayonnement cosmique de haute énergie traverse le processeur) et de l'autres de monstrueux empilements de code truffés d'erreurs. L'erreur est humaine, mais je ne pige pas pourquoi les éditeurs d'OS continuent d'empiler les couches de code dans l'OS au lieu de s'évertuer à les relire (ou les recoder) jusqu'à être sur qu'il ne reste aucune faille. Mais j'ai surement tort, car je suppose qu'au vu de la longueur complexité de ces codes, il restera toujours des erreurs résiduelles, donc des failles exploitables.

Ce message a été modifié par ekami - 16 Mar 2018, 12:56.

[iAPX]

C'est incroyable: d'un côté des calculateurs qui ne se trompent pas (sauf évènement exceptionnel quand un rayonnement cosmique de haute énergie traverse le processeur) et de l'autres de monstrueux empilements de code truffés d'erreurs. L'erreur est humaine, mais je ne pige pas pourquoi les éditeurs d'OS continuent d'empiler les couches de code dans l'OS au lieu de s'évertuer à les relire (ou les recoder) jusqu'à être sur qu'il ne reste aucune faille. Mais j'ai surement tort, car je suppose qu'au vu de la longueur complexité de ces codes, il restera toujours des erreurs résiduelles, donc des failles exploitables.

La course à la fonctionnalitée "Feature", cette course qui plaît tant à l'utilisateur final

[ekami]

C'est incroyable: d'un côté des calculateurs qui ne se trompent pas (sauf évènement exceptionnel quand un rayonnement cosmique de haute énergie traverse le processeur) et de l'autres de monstrueux empilements de code truffés d'erreurs. L'erreur est humaine, mais je ne pige pas pourquoi les éditeurs d'OS continuent d'empiler les couches de code dans l'OS au lieu de s'évertuer à les relire (ou les recoder) jusqu'à être sur qu'il ne reste aucune faille. Mais j'ai surement tort, car je suppose qu'au vu de la longueur complexité de ces codes, il restera toujours des erreurs résiduelles, donc des failles exploitables.

La course à la fonctionnalitée "Feature", cette course qui plaît tant à l'utilisateur final

Raisonnement fallacieux: C'est l'éditeur qui nous propose/impose les "feathures", pas les utilisateurs qui les réclament.
Ça me rappele les distributeurs et industriels qui disent de concert que "les utilisateurs veulent des produits pas chers": un excellent prétexte pour de défausser de leurs responsabilités en tant que fabricants de ces mauvais produits (alimentation, vêtements, etc…).

[Licorne31]

C'est incroyable: d'un côté des calculateurs qui ne se trompent pas (sauf évènement exceptionnel quand un rayonnement cosmique de haute énergie traverse le processeur) et de l'autres de monstrueux empilements de code truffés d'erreurs. L'erreur est humaine, mais je ne pige pas pourquoi les éditeurs d'OS continuent d'empiler les couches de code dans l'OS au lieu de s'évertuer à les relire (ou les recoder) jusqu'à être sur qu'il ne reste aucune faille. Mais j'ai surement tort, car je suppose qu'au vu de la longueur complexité de ces codes, il restera toujours des erreurs résiduelles, donc des failles exploitables.

La course à la fonctionnalitée "Feature", cette course qui plaît tant à l'utilisateur final

Les coûts... tout simplement.

Faire une "vraie" validation de code, avec correction des bugs (et pas simplement "relire et recoder"), ça coûte cher ("relire et recoder" aussi), et il faut bien dégager des bénéfices pour payer les actionnaires...

Sinon, il y a ce corollaire de la loi de Murphy : dès que le nombre d'instruction d'un programme est supérieur ou égal à 1, la probabilité pour qu'il comporte au moins un bug est strictement supérieure à 0.

[iAPX]

...
Sinon, il y a ce corollaire de la loi de Murphy : dès que le nombre d'instruction d'un programme est supérieur ou égal à 1, la probabilité pour qu'il comporte au moins un bug est strictement supérieure à 0.

+1

Il y a une histoire passionnante, avec EMC qui se fait voler tout le code-source de VMware, le FBI se faisant voler tous ces emails (y-compris les plus confidentiels au travers du réseau X.25, en fait probablement du X.27 vu l'époque), tout ça passé sous silence ou décris comme mineur sans info sensible. Lire ici.

Au passage, le vol du code-source de VMware permettait évidemment de rechercher des failles et faire de l'escalade d'une VM vers la machine hôte, et quand ils ont découvert cela (à deux reprises, une affaire de 4 années), ça a été le branle-bas-de-combat car tuant le marché et le produit.
C'est aussi ce qui est arrivé avec Meltdown et Spectre en début d'année (public disclosure) et 13ans plus tard, alors que les VM se sont généralisées dans le "cloud" (un mot PR pour reformuler du "partitionnement" de gros systèmes centralisés qui fleure bon ses années 60 et IBM corporate, pour être hype), l'impact est encore plus gros, et les canards qui sortaient du PR pour dire que tout allait bien devaient méchamment pédaler sous la surface...

On a un problème fondamental de sécurité et de sécurisation des infrastructures, mais aussi des personnes, quelque-chose d'étourdissant pour moi, ne pouvant assurer et assumer ma propre sécurité sur mes ordinateurs connectés en-ligne (je ne suis pas le plus mauvais pourtant).
Mais ce sont souvent les utilisateurs qui payent...

Ce message a été modifié par iAPX - 17 Mar 2018, 15:50.

[_Panta]

Mais ce sont souvent les utilisateurs qui payent...

Articles intéressant.

"We must stop trying to fix the user to achieve security. We'll never get there, and research toward those goals just obscures the real problems. Usable security does not mean "getting people to do what we want." It means creating security that works, given (or despite) what people do. It means security solutions that deliver on users' security goals without­ -- as the 19th-century Dutch cryptographer Auguste Kerckhoffs aptly put it­ -- "stress of mind, or knowledge of a long series of rules.""

Il faudra toujours éduquer l'utilisateur, mais il est certain que si on repose cette sécurité uniquement sur leur épaules, on est mal barré, et qu'il devient indispensable de protéger l'utilisateur. de force, donc par une AI quelconque, comme le fait qu'en dessous de 90% de taux de vaccinations d'une société, la maladie ciblé à toute chance de survivre, notre propre protection passe nécessaire par la protection des autres .

Visions réaliste de la chose, mais quand la machine se et nous défendra elle même des autres, aïe aë aïe, leur contre attaque qui n'est qu'une sorte de défense n'est pas loin, et le pragmatisme binaire d'une machine ne peut qu'arriver à la conclusion qu'éliminer le maillon est indispensable, et ce maillon c'est l'homme ; l'armée de Skynet sera encore plus autonome sans besoin de nous

Ce message a été modifié par _Panta - 17 Mar 2018, 18:02.

[iAPX]

...
Visions réaliste de la chose, mais quand la machine se et nous défendra elle même des autres, aïe aë aïe, leur contre attaque qui n'est qu'une sorte de défense n'est pas loin, et le pragmatisme binaire d'une machine ne peut qu'arriver à la conclusion qu'éliminer le maillon est indispensable, et ce maillon c'est l'homme ; l'armée de Skynet sera encore plus autonome sans besoin de nous

Ça amène d'autres questions, d'usabilité, mais aussi de censure organisées pour "protéger" les gens, mais de quoi au juste?
De code malveillant? De contenu qu'on juge "malveillant"? D'ëtre libre de leurs actes comme dans la rue?

Ou alors, il faut réduire l'espace du possible, pour quelque-chose controlable et sûr à tous les niveaux (sans censure, par absence de possibilité), mais là, ça serait une levée de bouclier...

Ce message a été modifié par iAPX - 17 Mar 2018, 21:07.

[VSD]

Je trouvais la Touch Bar inutile dès sa sortie ... je comprends mieux à présent sa raison d'exister !!!

[iAPX]