3 millions d'Apps iOS et macOS exposées à des failles de sécurité depuis 10 ans
Par June Cantillon - Publié le
Des failles au sein de Cocoapods
Les chercheurs en sécurité de la firme spécialisée E.V.A Information Security ont mis en lumière trois failles importantes au sein du référentiel open source populaire Cocoapods (actuellement la page est hors ligne) proposant de nombreux modules utilisés par de nombreux développeur pour créer des applications développées pour les plateformes Apple. Selon les chercheurs, ces failles étaient présentes depuis 10 ans et auraient pu permettre aux esprits malveillants de mener des attaques potentiellement dangereuses pour les utilisateurs.
3 millions d'Apps sur iOS/iPadOS et macOS
Il est difficile de savoir si ces failles ont réellement été exploitées, mais (en simplifiant) elles auraient pu permettre de modifier des modules référencés par Cocoapods en usurpant les comptes des développeurs qui les proposaient sur la plateforme. Ces différents bouts de programmes vérolés intégrés au sein de millions d'applications auraient alors pu permettre de subtiliser des données utilisateur à l'insu de ces derniers, par exemple pour des tentatives de phishing. Le rapport indique que les trois failles de sécurité ont été colmatées en octobre 2023.
Notons que ce n'est pas la première fois que Cocoapods fait les gros titres pour des soucis de sécurité. Ainsi, en 2021, une faille avait été révélée et permettait de remplacer les modules (ou pods) par des versions contenant des malwares qui auraient ainsi ensuite pu se retrouver au sein des programmes des développeurs sur l'App Store. Les chercheurs d'E.V.A Information Security conseillent aux développeurs faisant appel aux services de Cocoapods (ou de tout autre service proposant des modules) de lancer des analyses afin de détecter d'éventuels malware au sein des bibliothéques proposées.