La sécurité de millions d’applications iOS a peut-être été compromise en raison d’une faille dans le populaire gestionnaire de dépendances CocoaPods.

cocoapods menaces ios

Les développeurs de logiciels s’appuient souvent sur du code écrit par d’autres sociétés ou développeurs pour accélérer le développement de leurs produits. Pour faciliter la gestion du code à partir d’autres sources, appelées dépendances, les développeurs utilisent un outil appelé le gestionnaire de dépendances. Il en va de même pour le développement pour les plates-formes Apple, et le gestionnaire de dépendances le plus populaire pour les applications iOS est CocoaPods.

Lundi dernier, les responsables du projet ont publié une déclaration expliquant qu’un problème de sécurité remontant à juin 2015 avait été découvert, laissant aux attaquants suffisamment de temps pour en profiter.

Le problème vient du fait qu’un paquet malveillant publié dans le référentiel CocoaPods pourrait exécuter du code arbitraire sur les serveurs qui le gèrent. Ce package peut être utilisé pour remplacer les versions existantes par des versions malveillantes avec du code qui pourrait se retrouver dans des applications iOS et Mac utilisées par des millions de personnes dans le monde.

Signal, une application de messagerie axée sur la confidentialité, est un exemple d’application populaire qui utilise CocoaPods. Une attaque soigneusement planifiée contre l’une des dépendances utilisées par Signal pourrait potentiellement exposer des données utilisateur. Il s’agit d’un scénario peu probable, car les dépendances utilisées par Signal sont vérifiées par l’équipe de développement de l’application, garantissant qu’aucune ne contient de code malveillant ou de problèmes de sécurité. Cependant, tous les développeurs n’ont pas cette pratique lorsqu’ils travaillent avec des dépendances.

Il n’y a aucune preuve que la vulnérabilité a été exploitée. Les seuls développeurs concernés par le correctif seront ceux qui publient leurs packages sur CocoaPods.

Partager un commentaire