Des chercheurs d’EVA Information Security ont découvert des failles de sécurité critiques affectant CocoaPods, un outil open source utilisé dans le développement de millions d’applications iOS et macOS. Ces vulnérabilités, restées inconnues pendant près de dix ans, permettent de voler des données sensibles, telles que des numéros de cartes de crédit.
CocoaPods est un outil très populaire parmi les développeurs d’applications iOS et macOS. Il facilite la gestion et l’intégration de bibliothèques externes, permettant une mise à jour rapide et efficace des composants tiers dans les applications. Avec environ 100 000 bibliothèques utilisées dans plus de 3 millions d’applications, CocoaPods est un élément essentiel dans l’écosystème du développement d’applications pour les produits Apple.
Les vulnérabilités découvertes par EVA Information Security permettent d’exploiter des brèches pour orchestrer des attaques de la chaîne d’approvisionnement. Ce type d’attaque consiste à compromettre un système en infiltrant des logiciels, du matériel ou des services fournis par des tiers, plutôt que d’attaquer directement la cible principale. En l’occurrence, les hackers ne s’attaquent pas directement aux applications, mais plutôt à CocoaPods lui-même.
La principale faille de sécurité identifiée réside dans le mécanisme de vérification des e-mails utilisé pour authentifier les développeurs de bibliothèques externes. Un attaquant pouvait manipuler l’URL du lien de vérification envoyé par ce système, redirigeant ainsi le développeur vers un serveur malveillant. Une fois que l’attaquant a obtenu l’accès à la bibliothèque, il pouvait y insérer du code malveillant, potentiellement utilisé pour des cyberattaques à grande échelle.
En plus de la faille principale, deux autres brèches ont été découvertes, permettant également l’injection de code malveillant. Ces vulnérabilités exposaient les applications à des risques d’infiltration et de déploiement de mises à jour malveillantes, compromettant ainsi la sécurité des utilisateurs.
Les données sensibles issues des applications, telles que les numéros de carte de crédit, les informations médicales et d’autres données personnelles, étaient à risque. Pour un cybercriminel, ces informations sont précieuses et peuvent être utilisées pour mener d’autres cyberattaques, déployer des ransomwares ou usurper l’identité des internautes.
Les failles de sécurité étaient présentes depuis 2014, découvertes suite à un processus de migration. Pendant près de dix ans, les pirates pouvaient impunément ajouter du code malveillant aux applications, mettant en danger des millions, voire des milliards d’utilisateurs de produits Apple.
La découverte des vulnérabilités en octobre dernier a conduit CocoaPods à prendre des mesures correctives immédiates. Les responsables de CocoaPods ont déclaré avoir corrigé les problèmes au fur et à mesure de leur identification, notamment en effaçant toutes les clés de session pour garantir que personne ne pouvait accéder aux comptes sans le contrôle préalable de l’adresse e-mail enregistrée.
Bien qu’aucune preuve d’exploitation des failles par des hackers n’ait été trouvée, les responsables de CocoaPods et les chercheurs d’EVA Information Security restent prudents. La possibilité que ces vulnérabilités aient été exploitées dans le passé ne peut être complètement écartée.
Source : 01Net
Toutes l'histoire de Free et Xavier Niel en chanson. Retracer toute l'histoire de Free et…
Du 26 au 28 novembre, l'opérateur historique entend faire des démonstrations de diverses innovations technologiques,…
Comme un air de déjà vue chez Red by SFR. En effet, on peut retrouver…
Et si on confiait nos données de santé à l’oncle Sam ? C’est désormais officiel…
Comme c'était le cas depuis la suppression de la redevance, l'audiovisuel public bénéficiera d'une affectation…
Une box Bouygues Telecom avec une Playstation 5 à prix réduit, c'est la nouvelle proposition…