Connexion
Trois failles dans CocoaPods exposaient trois millions d’applications iOS et macOS
Souffle froid sur la nuque
Une équipe de chercheurs d’EVA Information Security a publié lundi un billet racontant la découverte de trois failles sérieuses dans CocoaPods. Ce service, très utilisé par les développeurs d’applications tierces sur les environnements Apple, vérifiait mal les emails envoyés aux utilisateurs. Aucune des failles n’aurait été exploitée, sans que les chercheurs en soient certains.
CocoaPods est un service communautaire lancé en 2011. L’idée était de simplifier la gestion des dépendances en automatisant une multitude de processus. Le service s’est spécialisé dans la gestion des bibliothèques externes, régulièrement utilisées pour simplifier le développement. Ces bibliothèques proposent en effet des fonctions prêtes à l’emploi, évitant de réinventer la roue.
CocoaPods se présente ainsi comme un dépôt rassemblant de nombreuses bibliothèques open source (pour les projets en Swift et Objective-C). Quand des bibliothèques sont mises à jour, le service se charge de les synchroniser avec les projets existants. En outre, quand des développeurs apportent des modifications à leurs « pods » (des paquets de code individuels), les applications qui en dépendent sont, elles aussi, mises à jour automatiquement.
Les failles découvertes par EVA Information Security appartiennent toutes à la catégorie de la chaine d’approvisionnement. Elles sont toutes critiques, avec une sévérité allant de 8,2 à 10 sur 10. Exploitées via de l’injection de code, elles auraient pu permettre à des pirates de récupérer des informations précises sur les développeurs et jusqu’à la prise de contrôle de pods et de comptes.
Selon les chercheurs, aucun signe d’exploitation n’a été trouvé. Mais puisque ces vulnérabilités sont restées en place dix ans, il est difficile d’en être sûr. En outre, CocoaPods revendique trois millions d’applications ayant fait appel à ses bons offices.
« L’injection de code dans ces applications pourrait permettre aux attaquants d’accéder à ces informations à toutes les fins malveillantes imaginables – rançongiciels, fraude, chantage, espionnage d’entreprise… Ce faisant, elle pourrait exposer les entreprises à des responsabilités juridiques majeures et à des risques pour leur réputation », écrivent les chercheurs.
