Des milliers d’applications iOS et macOS ont mis en danger des millions d’utilisateurs
Des milliers d’applications vulnérables ont mis en danger des millions d’utilisateurs d’iOS et de macOS. Le récent rapport élaboré par E.V.A, une entreprise de consultation en sécurité, a révélé une série de vulnérabilités dans la chaîne d’approvisionnement de CocoaPods. Oui, l’outil de gestion de projets in iOS a été compromis, ce qui affecte un grand nombre d’applications à l’échelle mondiale.
Les failles critiques découvertes pourraient être exploitées par des agents externes, représentant un danger pour les utilisateurs ayant installé l’une de ces applications sur leur iPhone ou MacBook. L’étendue de cette situation met en lumière une problématique difficile à traiter, liée à l’utilisation de dépôts et de bibliothèques de code à accès libre.
Malgré le fait qu’il est courant d’utiliser ces ressources lors de la création d’un projet, leur niveau de sécurité est souvent méconnu, ce qui peut entraîner une situation similaire ou identique à celle vécue par CocoaPods. En particulier, le rapport indique que les attaquants pourraient injecter du code malveillant dans les applications, compromettant la sécurité et la vie privée des utilisateurs finaux.
Des milliers d’applications iOS et macOS ont mis en danger des millions d’utilisateurs
Avant que toutes les alarmes ne se déclenchent, les vulnérabilités ont été corrigées. Actuellement, il n’y a aucun danger pour les utilisateurs en raison de ces applications. En fait, il est courant d’annoncer ce type de situations a posteriori, et il serait illogique que les rapports soient diffusés en temps réel, car les attaquants pourraient en profiter pour infecter les appareils.
En particulier, les dangers identifiés par E.V.A proviennent d’un mécanisme de sécurité utilisé pour identifier les développeurs de conteneurs individuels. Ces développeurs saisissaient leur adresse e-mail associée au conteneur pour y accéder, et attendaient un lien dans leur boîte de réception envoyé par le serveur principal.
Ce lien offrait un accès immédiat à la personne qui le recevait, constituant une méthode relativement sûre pour empêcher l’accès à des personnes extérieures aux projets. Le problème résidait dans le fait que ces liens pouvaient être falsifiés, permettant aux attaquants de modifier ces liens à leur guise pour accéder aux conteneurs de manière licite car ils suivaient les protocoles d’accès établis.
Adresse e-mail correcte
Adresse e-mail modifiée exploitant la vulnérabilité
Des tests réalisés ont montré que, dans certains cas, les attaquants pouvaient manipuler l’URL du lien pour le diriger vers un serveur sous leur contrôle. Ce serveur acceptait un XFH falsifié, un en-tête HTTP pour identifier le serveur de destination spécifié dans une requête HTTP. Tout cela signifie qu’au moyen d’un lien, ils pouvaient utiliser un XFH falsifié pour construire une URL d’accès de leur choix.
Il n’existe pas de preuve montrant que cette vulnérabilité est exploitée. Cependant, les chercheurs d’E.V.A indiquent que l’absence de preuves ne signifie pas que cette situation n’est pas possible. Les utilisateurs finaux ne peuvent rien faire, il appartient aux développeurs ayant utilisé des instances de CocoaPods de protéger tous les utilisateurs ayant leurs applications installées.