Les technologies de sécurité Apple pour Mac OS X peuvent toujours passer à côté d'iWorm, un malware découvert fin septembre et qui a infecté des dizaines de milliers d'ordinateurs. Apple a proposé une mise à jour pour son moteur d'antivirus XProtect pour détecter iWorm, mais elle détecte seulement quand l'installeur iWorm est lancé ce qui n'arrive qu'une seule fois, a indiqué Patrick Wardle, directeur de la recherche chez Synack, une société de sécurité basée à Redwood en Californie. Un papier décrit ses découvertes. Cela signifie que les ordinateurs déjà infectés avec iWorm avant cette mise à jour peuvent toujours être compromis.

La firme de Cupertino a lancé une signature mais cela ne résout pas le problème, explique Patrick Wardle dans une interview téléphonique. « A moins que l'utilisateur dispose d'un autre produit antivirus installé possédant une signature correcte, ces infections ne sont pas prêtes de disparaître. » iWorm, qui est un backdoor pouvant voler des données d'un ordinateur, a infecté plus de 18 000 machines, selon la société de sécurité Dr. Web. Ce malware a été trouvé dans des copies pirates des logiciels Adobe Photoshop et Illustrator, Parallels Desktop et Microsoft Office pour Mac proposés sur The Pirate Bay, le tristement célèbre moteur de recherche pour contenus partagés utilisant le réseau P2P BitTorrent.

uTorrent ne soumet pas les fichiers pour inspection par Gatekeeper

Patrick Wardle estime que la situation est dangereuse puisque Gatekeeper, la technologie de sécurité d'Apple,échoue à arrêter iWorm dans certains cas. Lorsqu'une personne télécharge une application, Gatekeeper vérifie si elle dispose d'une signature numérique indiquant qu'il vient de l'Apple Store ou si elle a un certificat développeur approuvé. Si ce n'est pas le cas, Gatekeeper avertit que l'application peut poser un risque de sécurité bien que les utilisateurs peuvent quand même choisir de l'exécuter.

Mais seules certaines applications comme Safari, Firefox et Chrome ont des attributs de mise en quarantaine permettant à Gatekeeper de vérifier les fichiers bénéficiant de cette signalisation. Mais si une personne télécharge un fichier en utilisant uTorrent, ce dernier n'est pas programmé pour soumettre les fichiers pour inspection à Gatekeeper, a prévenu Patrick Wardle.

En fin de compte, les auteurs de logiciels malveillants seront toujours en mesure de tirer partie de la méthode iWorm utilisée. « Malheureusement, iWorm est capable de contourner très facilement les mesures d'atténuation ant-malware d'Apple. Cela montre que les malwares sur OS X sont un problème, et que les Mac ne sont pas immunisés contre les malwares », conclut Patrick Wardle.