Des failles de sécurité découvertes dans des millions d’apps iOS et macOS
Des chercheurs d’EVA Information Security ont découvert des failles de sécurité critiques affectant CocoaPods, un outil open source utilisé dans le développement de millions d’applications iOS et macOS. Ces vulnérabilités, restées inconnues pendant près de dix ans, permettent de voler des données sensibles, telles que des numéros de cartes de crédit.
CocoaPods est un outil très populaire parmi les développeurs d’applications iOS et macOS. Il facilite la gestion et l’intégration de bibliothèques externes, permettant une mise à jour rapide et efficace des composants tiers dans les applications. Avec environ 100 000 bibliothèques utilisées dans plus de 3 millions d’applications, CocoaPods est un élément essentiel dans l’écosystème du développement d’applications pour les produits Apple.
La Nature des failles de sécurité
Les vulnérabilités découvertes par EVA Information Security permettent d’exploiter des brèches pour orchestrer des attaques de la chaîne d’approvisionnement. Ce type d’attaque consiste à compromettre un système en infiltrant des logiciels, du matériel ou des services fournis par des tiers, plutôt que d’attaquer directement la cible principale. En l’occurrence, les hackers ne s’attaquent pas directement aux applications, mais plutôt à CocoaPods lui-même.
Défaillance dans la vérification des e-mails
La principale faille de sécurité identifiée réside dans le mécanisme de vérification des e-mails utilisé pour authentifier les développeurs de bibliothèques externes. Un attaquant pouvait manipuler l’URL du lien de vérification envoyé par ce système, redirigeant ainsi le développeur vers un serveur malveillant. Une fois que l’attaquant a obtenu l’accès à la bibliothèque, il pouvait y insérer du code malveillant, potentiellement utilisé pour des cyberattaques à grande échelle.
En plus de la faille principale, deux autres brèches ont été découvertes, permettant également l’injection de code malveillant. Ces vulnérabilités exposaient les applications à des risques d’infiltration et de déploiement de mises à jour malveillantes, compromettant ainsi la sécurité des utilisateurs.
Conséquences des failles
Les données sensibles issues des applications, telles que les numéros de carte de crédit, les informations médicales et d’autres données personnelles, étaient à risque. Pour un cybercriminel, ces informations sont précieuses et peuvent être utilisées pour mener d’autres cyberattaques, déployer des ransomwares ou usurper l’identité des internautes.
Une décennie de vulnérabilité
Les failles de sécurité étaient présentes depuis 2014, découvertes suite à un processus de migration. Pendant près de dix ans, les pirates pouvaient impunément ajouter du code malveillant aux applications, mettant en danger des millions, voire des milliards d’utilisateurs de produits Apple.
La découverte des vulnérabilités en octobre dernier a conduit CocoaPods à prendre des mesures correctives immédiates. Les responsables de CocoaPods ont déclaré avoir corrigé les problèmes au fur et à mesure de leur identification, notamment en effaçant toutes les clés de session pour garantir que personne ne pouvait accéder aux comptes sans le contrôle préalable de l’adresse e-mail enregistrée.
Bien qu’aucune preuve d’exploitation des failles par des hackers n’ait été trouvée, les responsables de CocoaPods et les chercheurs d’EVA Information Security restent prudents. La possibilité que ces vulnérabilités aient été exploitées dans le passé ne peut être complètement écartée.
Source : 01Net