Dans le cadre des versions «Vault 7» de WikiLeaks détaillant divers exploits développés par la CIA ciblant les ordinateurs et les appareils mobiles, l'organisation à but non lucratif a partagé aujourd'hui une paire de nouveaux exploits, appelés «Achilles» et «SeaPea» et développés sous le nom de code "Impérial".
Les deux exploits ont été testés sur des Mac plus anciens exécutant OS X Snow Leopard et Lion.
L'exploit «Achilles» permet à un attaquant d'injecter du code dans les fichiers des installateurs d'images de disque (.DMG) couramment utilisés sur les Mac. En conséquence, un utilisateur sans méfiance pourrait télécharger un programme d'installation de disque infesté sur son Mac, l'ouvrir et installer le logiciel sans être au courant de l'attaque.
La première fois que l'application nouvellement installée est lancée, le code de la CIA s'exécutera également. Le code injecté est ensuite supprimé en toute sécurité de l'application installée afin qu'il "ressemble exactement" à l'application d'origine, ce qui rend difficile, voire difficile, pour un logiciel antivirus de détecter les modifications.
L'exploit «SeaPea», décrit comme un Rootkit pour OS X, offre à un opérateur CIA des capacités de lancement furtif et d'outils en masquant les connexions de processus et de socket importantes aux utilisateurs.
Il nécessite un accès root pour être installé sur un Mac cible et ne peut être supprimé que si le disque de démarrage est effacé ou si l'ordinateur est mis à niveau vers la prochaine version principale du système d'exploitation..
Les deux exploits ont été testés sur OS X Lion et Snow Leopard, qui sont des versions plus anciennes d'OS X publiées il y a des années. On ne sait pas si Apple a corrigé les vulnérabilités, car la société n'a pas commenté les derniers exploits de la CIA.
Dans le passé, Apple a corrigé les exploits publiés de la CIA en quelques jours.
