Selon un rapport de ArsTechnicaenviron trois millions d’applications iPhone et Mac risquent d’être victimes d’une faille de sécurité, citant une étude d’EVA Information Security.
En conséquence, cet exploit pourrait permettre à des attaquants de se faufiler dans les applications, causant potentiellement de graves problèmes. La vulnérabilité a été découverte dans CocoaPods, un outil utilisé par de nombreux développeurs lors de la création d’applications pour les appareils Apple.
D’après ce qu’EVA Information Security a révélé, cette faille de sécurité pourrait permettre aux attaquants d’accéder aux applications iPhone ou Mac et d’accéder à des informations sensibles, notamment des détails de carte de crédit, des dossiers médicaux et d’autres éléments confidentiels. Plus tard, ils pourraient utiliser ces données à des fins de ransomware, de fraude, de chantage ou d’espionnage industriel.
« Ce faisant, cela pourrait exposer les entreprises à d’importantes responsabilités juridiques et à un risque de réputation », affirment les chercheurs d’EVA Information Security.
Les vulnérabilités provenaient du processus de vérification des e-mails utilisé pour vérifier les développeurs de CocoaPods spécifiques. Les attaquants pourraient modifier l’adresse Web dans un lien de vérification pour accéder à leur mauvais serveur. Cependant, la bonne nouvelle est que CocoaPods a désormais résolu ce problème.
Un autre problème permettait aux attaquants de prendre le contrôle de pods abandonnés que les développeurs avaient arrêté de mettre à jour mais qui étaient toujours utilisés par les applications. L’interface qui permettait aux développeurs de récupérer ces pods était active pendant près de 10 ans après sa première mise en place.
Les chercheurs ont découvert que toute personne connaissant cette interface pouvait l’utiliser pour prendre le contrôle d’un pod, sans avoir besoin de prouver qu’elle en était propriétaire. De plus, il y avait un troisième problème où les attaquants pouvaient exécuter leur code sur le serveur principal.
Si l’entreprise de sécurité n’avait pas découvert et signalé ces bugs, les conséquences auraient pu être pires. Mais la seule bonne nouvelle jusqu’à présent est que CocoaPods a désormais corrigé ces vulnérabilités.
