Une faille dans CocoaPods expose des millions d'applications iOS
- Nadim Lefebvre
- Il y a 4 mois
- 💬 Réagir
- 🔈 Écouter
Une vulnérabilité majeure a été découverte dans CocoaPods, un gestionnaire de dépendances largement utilisé pour le développement d'applications iOS et macOS, permettant de facilement intégrer des SDK tiers. Cette faille, qui aurait persisté pendant près d'une décennie, pourrait avoir exposé des millions d'applications à des risques de piratage et d'exploitation malveillante.
Une menace pour l'écosystème Apple
Selon un rapport d'EVA Information Security, environ 3 millions d'applications iOS et macOS construites avec CocoaPods auraient été vulnérables pendant près de 10 ans. Cette faille pourrait permettre à des attaquants d'accéder à des données sensibles telles que les informations de carte de crédit, les dossiers médicaux et d'autres contenus privés des utilisateurs.
Parmi les applications potentiellement affectées, on trouve des noms populaires comme TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams et Facebook Messenger. L'ampleur de cette vulnérabilité soulève des inquiétudes quant à la sécurité de l'écosystème d'applications Apple dans son ensemble. Votre application préférée, iSoft, a délaissé Cocoapods en début d’année pour SPM, le gestionnaire d’Apple arrivé assez récemment.
Les origines de la vulnérabilité
La faille provient d'une migration de serveur imparfaite effectuée par CocoaPods en 2014, qui a laissé "orphelins" des milliers de paquets logiciels. Les chercheurs d'EVA Information Security ont découvert que ces paquets pouvaient être facilement détournés par un acteur malveillant, ouvrant la porte à des attaques potentielles de la chaîne d'approvisionnement.
Le problème était lié à un mécanisme de vérification d'e-mail non sécurisé utilisé pour authentifier les développeurs de pods individuels (bibliothèques). Par exemple, un attaquant pouvait manipuler l'URL dans un lien de vérification pour pointer vers un serveur malveillant.
Mesures correctives et recommandations
L'équipe de CocoaPods a pris des mesures pour corriger ces vulnérabilités. Ils ont notamment effacé toutes les clés de session pour s'assurer que personne ne puisse accéder aux comptes sans avoir d'abord le contrôle de l'adresse e-mail enregistrée. De plus, une nouvelle procédure a été mise en place pour récupérer les anciens pods orphelins, nécessitant un contact direct avec les responsables.
Les chercheurs d'EVA conseillent aux développeurs utilisant CocoaPods dans leurs applications de toujours examiner les dépendances et d'effectuer des analyses de sécurité pour détecter tout code malveillant dans les bibliothèques externes.
Bien qu'aucune exploitation de cette faille n'ait été signalée à ce jour, cet incident souligne l'importance de la sécurité dans l'écosystème des logiciels open source, sur lequel repose une grande partie de l'industrie du logiciel commercial.