Home » Sciences et technologies » Des millions d’applications Apple ont été vulnérables à l’attaque CocoaPods

Des millions d’applications Apple ont été vulnérables à l’attaque CocoaPods

by Nouvelles

2024-07-04 13:24:27

De nombreuses applications macOS et iOS étaient ouvertes à une vulnérabilité dans CocoaPods, un gestionnaire de dépendances open source, Sécurité des informations EVA révélée le 1er juillet. La vulnérabilité a été corrigée depuis qu’EVA l’a découverte pour la première fois, et aucune attaque n’a eu lieu qui lui soit liée de manière concluante.

Cependant, cette affaire est intéressante car elle est restée longtemps inaperçue et a mis en évidence la nécessité pour les développeurs d’être prudents avec les bibliothèques open source. Cette vulnérabilité est un bon rappel pour les développeurs et les équipes DevOps de vérifier si l’un des appareils de leur entreprise pourrait être affecté.

« Des milliers d’applications et des millions d’appareils » pourraient avoir été impactés en aval, a déclaré EVA. L’équipe de sécurité affirme avoir trouvé des pods CocoaPods vulnérables dans « la documentation ou les conditions de service des applications fournies par Meta (Facebook, Whatsapp), Apple (Safari, AppleTV, Xcode) et Microsoft (Teams) ; ainsi que dans TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga et bien d’autres. »

EVA a signalé la vulnérabilité à CocoaPods en octobre 2023, date à laquelle il a été corrigé.

« L’équipe CocoaPods a réagi de manière responsable et rapide aux vulnérabilités une fois révélées », a écrit EVA Information Security.

Couverture Apple à lire absolument

Les vulnérabilités proviennent de CocoaPods

CocoaPods est un gestionnaire de dépendances pour les projets Swift et Objective-C, et il vérifie la légitimité des composants open source. À l’origine, EVA Information Security ne recherchait pas de vulnérabilités dans CocoaPods ; au lieu de cela, l’équipe les a découvertes lors d’une collaboration avec un client.

VOIR : La CISA recommande d’utiliser des langages de programmation à mémoire sécurisée pour les projets open source.

EVA a signalé plusieurs causes de vulnérabilités. Tout d’abord, CocoaPods a migré de GitHub vers un serveur « trunk » en 2014, mais les propriétaires de pods ont dû récupérer manuellement leurs emplacements. Certains d’entre eux ne l’ont pas fait, laissant 1 866 pods « orphelins » intacts pendant les 10 années suivantes. N’importe qui pouvait envoyer un e-mail à CocoaPods pour réclamer ces pods, ce qui aurait permis aux attaquants d’injecter du contenu malveillant.

Deuxièmement, les attaquants pourraient exécuter du code malveillant sur le serveur « trunk » lui-même en exploitant un flux de vérification des e-mails non sécurisé. À partir de là, ils pourraient manipuler ou remplacer les packages téléchargés à partir de ce serveur.

Troisièmement, les attaquants pourraient voler des jetons de vérification de compte en usurpant un en-tête HTTP et en profitant d’outils de sécurité de messagerie mal configurés. À partir de là, ils pourraient utiliser ce jeton pour modifier les packages sur le serveur CocoaPods, ce qui pourrait potentiellement conduire à des attaques de chaîne d’approvisionnement et de type zero-day.

Un chercheur en sécurité informatique d’EVA a utilisé un jeton de validation de session usurpé pour prendre le contrôle d’un compte CocoaPods. Image : EVA Information Security

Ce que les développeurs et les équipes DevOps peuvent faire pour atténuer les vulnérabilités de CocoaPods

Les vulnérabilités de CocoaPods sont un bon rappel pour les développeurs et les équipes DevOps de ne pas oublier les gestionnaires de dépendances, qui pourraient être un maillon faible potentiel de la sécurité de la chaîne d’approvisionnement. Pour gérer les vulnérabilités de CocoaPods, les développeurs et les équipes DevOps doivent vérifier les dépendances open source utilisées dans le code de leur application.

EVA a suggéré :

  • Si vous utilisez un logiciel qui s’appuie sur des packages CocoaPods orphelins, gardez votre fichier podfile.lock synchronisé avec tous les développeurs CocoaPods pour vous assurer que tout le monde utilise la même version des packages.
  • Consultez les listes de dépendances et les gestionnaires de packages utilisés dans vos applications.
  • Valider les sommes de contrôle des bibliothèques tierces.
  • Effectuez des analyses périodiques des bibliothèques externes, en particulier CocoaPods, pour détecter du code malveillant ou des modifications suspectes.
  • Maintenez le logiciel à jour.
  • Limitez l’utilisation des packages CocoaPods orphelins ou non maintenus.
  • Méfiez-vous de l’exploitation potentielle de dépendances largement utilisées comme CocoaPods.



#Des #millions #dapplications #Apple #ont #été #vulnérables #lattaque #CocoaPods
1720097249

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.