Des millions d’applications iOS et macOS ont été exposées à une faille de sécurité qui pourrait être utilisée pour d’éventuelles attaques de la chaîne d’approvisionnement, indique un rapport d’ArsTechnica basé sur une recherche menée par EVA Information Security. L’exploit a été découvert dans CocoaPods, un référentiel open source utilisé par de nombreuses applications populaires développées pour les plateformes Apple.
Un exploit a été découvert dans les applications iOS et macOS affectées par CocoaPods
Selon le comuniqué, environ 3 millions d’applications iOS et macOS créées avec CocoaPods sont vulnérables depuis environ 10 ans. Pour ceux qui ne le savent pas, CocoaPods permet aux développeurs d’intégrer facilement du code tiers dans leurs applications via des bibliothèques open source. Lorsqu’une bibliothèque est mise à jour, les applications qui l’utilisent obtiennent automatiquement les dernières mises à jour.
EVA Information Security a révélé que l’exploit pourrait permettre aux attaquants d’accéder à des données d’application sensibles telles que les informations de carte de crédit, les dossiers médicaux et les documents privés. Les données pourraient être utilisées à diverses fins malveillantes, notamment les ransomwares, la fraude, le chantage et l’espionnage industriel.
Les vulnérabilités étaient liées à un mécanisme de vérification des e-mails non sécurisé utilisé pour authentifier les développeurs de pods individuels (bibliothèques). Par exemple, un attaquant pourrait manipuler l’URL d’un lien de vérification pour pointer vers un serveur malveillant. L’équipe CocoaPods a déjà pris des mesures pour s’assurer que les exploits sont corrigés.
Après que les chercheurs d’EVA ont informé en privé les développeurs de CocoaPods de la vulnérabilité, ils ont effacé toutes les clés de session pour garantir que personne ne puisse accéder aux comptes sans avoir au préalable le contrôle de l’adresse e-mail enregistrée.
Les responsables de CocoaPods ont également ajouté une nouvelle procédure de récupération des anciens pods orphelins qui nécessite de contacter directement les responsables. Un auteur devra alors contacter l’entreprise pour reprendre l’une de ces dépendances.
Ce n’est pas la première fois que CocoaPods est la cible d’attaques. En 2021, les responsables du projet ont confirmé un problème de sécurité qui permettait aux référentiels CocoaPods d’exécuter du code arbitraire sur les serveurs qui le gèrent. Cela pourrait être utilisé pour remplacer les packages existants par des versions malveillantes avec du code qui pourrait finir par être livré dans les applications iOS et Mac.
Les chercheurs d’EVA conseillent aux développeurs utilisant CocoaPods dans leurs applications de toujours vérifier les dépendances de CocoaPods et d’exécuter des analyses de sécurité pour détecter le code malveillant dans toutes les bibliothèques externes.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
