Un groupe d’experts en sécurité a découvert trois vulnérabilités tests qui ont mis en danger des millions d’iPhone et de Mac pendant près d’une décennie. Cette négligence a exposé des applications telles que WhatsApp, TikTok, Netflix et même Safari, touchant des centaines de millions d’utilisateurs.
Des chercheurs du groupe israélien E.V.A. Information Security a publié un rapport sur trois vulnérabilités dans CocoaPods, un gestionnaire de dépendances open-source pour le développement d’applications. Selon les experts, tout agent malveillant pouvait prendre le contrôle de bibliothèques tierces pour insérer du code malveillant. Les attaques auraient affecté presque tous les appareils Apple, à la fois des particuliers et des organisations.
La faille en question a été créée en mai 2014, lorsque CocoaPods a migré vers un service Web visant à améliorer l’expérience utilisateur. Bien que cela ait facilité la publication de « Pods », des milliers de dépendances sont devenues orphelines dans le processus. Cela a ouvert la porte à tout attaquant utilisant une API publique et une adresse e-mail générique pour prendre le contrôle.
Malgré la complexité du processus, une fois qu’un attaquant a accès au code source de la dépendance, les implications seraient catastrophiques. Le pirate informatique pourrait injecter du code malveillant et mettre à jour des packages sur le serveur CocoaPods, entraînant des attaques zero-day.
Vulnérabilité de CocoaPods affectant iPhones et Macs
Selon les chercheurs, de nombreuses applications iOS et macOS étaient vulnérables aux attaques zero-day. Certaines des applications les plus utilisées, telles que Facebook, WhatsApp, TikTok, Snapchat ou Amazon, utilisent des dépendances orphelines de CocoaPods. En ce qui concerne Apple, Safari, Apple TV et Xcode font référence à ces Pods dans leur documentation ou leurs conditions de service.
Au total, nous avons trouvé 685 Pods ayant une dépendance explicite utilisant un Pod orphelin. Sans aucun doute, il y en a des centaines ou des milliers de plus dans des bases de code propriétaires. En prenant le contrôle d’une partie de la chaîne d’approvisionnement des applications iOS et macOS, un attaquant aurait un accès libre à des millions d’applications mobiles et aux centaines de millions de personnes qui les utilisent.
mentionné le groupe de sécurité.
Une des trois vulnérabilités exploite le processus de vérification de l’e-mail du serveur CocoaPods. La faille permet à un attaquant d’exécuter du code pour manipuler ou remplacer des packages de dépendance par du code malveillant.
La bonne nouvelle est que les vulnérabilités ont été corrigées par CocoaPods. À ce jour, il n’y a aucune preuve que l’une de ces failles ait été exploitée. Le groupe de sécurité recommande aux entreprises de passer en revue leur liste de dépendances et de gestionnaires de packages utilisés dans leurs applications.