Des millions d’applications iOS et macOS ont été exposées à une faille de sécurité qui pourrait être exploitée pour divers types d’attaques, selon un rapport d’ArsTechnica basé sur une étude d’EVA Information Security. L’exploit a été découvert dans CocoaPods, un référentiel open source utilisé par de nombreuses applications populaires développées pour les plateformes Apple.
Le rapport indique qu’environ 3 millions d’applications iOS et macOS, créées avec CocoaPods, sont vulnérables depuis environ 10 ans. Pour ceux qui ne le savent pas, CocoaPods facilite l’intégration de code tiers dans des applications via des bibliothèques open source. Lorsqu’une bibliothèque est mise à jour, les applications qui l’utilisent reçoivent automatiquement les dernières mises à jour.
EVA Information Security a révélé que l’exploit pourrait permettre aux attaquants d’accéder aux données sensibles des applications, telles que les détails de la carte de crédit, les dossiers médicaux et les documents privés. Ces données pourraient être utilisées à des fins malveillantes, notamment les ransomwares, la fraude, le chantage et l’espionnage industriel.
Les vulnérabilités étaient liées à un mécanisme de vérification des e-mails non sécurisé utilisé pour authentifier les développeurs de pods individuels (bibliothèques). Par exemple, un attaquant pourrait manipuler l’URL d’un lien de vérification pour pointer vers un serveur malveillant. L’équipe CocoaPods a déjà pris des mesures pour corriger les failles.
Après que les chercheurs d’EVA ont informé en privé les développeurs de CocoaPods de la vulnérabilité, ils ont supprimé toutes les clés de session pour garantir que personne ne puisse accéder aux comptes sans avoir au préalable le contrôle de l’adresse e-mail enregistrée.
Les mainteneurs de CocoaPods ont également ajouté une nouvelle procédure de récupération des pods orphelins qui vous oblige à contacter directement les mainteneurs. Un auteur doit désormais contacter l’entreprise pour prendre le contrôle d’une de ces dépendances.
Ce n’est pas la première fois que CocoaPods est la cible d’attaques. En 2021, les responsables du projet ont confirmé une faille de sécurité qui permettait aux référentiels CocoaPods d’exécuter du code arbitraire sur les serveurs qui les gèrent. Cela pourrait être utilisé pour remplacer les packages existants par des versions malveillantes contenant du code potentiellement dangereux pour les applications iOS et Mac.
Les chercheurs d’EVA conseillent aux développeurs utilisant CocoaPods dans leurs applications de toujours examiner les dépendances de CocoaPods et d’exécuter des analyses de sécurité pour détecter le code malveillant dans toutes les bibliothèques externes.
