EVA Information Security, société israélienne de cybersécurité et de tests, a découvert un bug dans Cocoapods, un gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C.
Le gestionnaire de dépendances est un outil essentiel au développement logiciel, permettant la validation et la signature cryptographique des packages logiciels. Par conséquent, un problème avec un tel outil peut avoir un impact négatif sur de nombreux aspects du logiciel ou du web.
Selon EVA Information Security, le problème pourrait exister depuis 2014 et résulter d'une migration ratée du serveur Cocoapods, qui a laissé des milliers de paquets de bibliothèques logicielles sans lien avec leurs fichiers sources d'origine et sans possibilité de remonter à leur source. Cela a permis aux attaquants de remplacer le code source d'origine par leur propre code malveillant.
Le représentant de l'entreprise a déclaré : « En raison de failles de sécurité du système, ces packages peuvent être détournés par des individus malveillants, puis utilisés pour injecter des logiciels malveillants dans les outils de développement logiciel destinés aux développeurs. Comme ils n'ont pas été détectés pendant longtemps, des milliers d'applications et des millions d'appareils ont été exposés au fil des ans. »
Étant donné que de nombreuses applications ont accès à des informations sensibles sur les utilisateurs, telles que les cartes de crédit, les dossiers médicaux et les documents privés, les pirates peuvent exploiter les vulnérabilités, installer des ransomwares ou d'autres types de logiciels malveillants pour les collecter.
EVA Information Security estime qu'Apple est « au centre du désordre » alors que la plupart des applications iOS et macOS sont codées en langages Swift et Objective-C, y compris des noms populaires tels que TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.
Des milliers d'applications sur ces plateformes pourraient ainsi être affectées. Une attaque visant l'écosystème des applications mobiles pourrait infecter la plupart des appareils Apple, laissant des milliers d'organisations vulnérables, tant sur le plan financier que sur celui de leur réputation.
Les bugs auraient été corrigés par Cocoapods, mais le fait qu'ils soient restés inaperçus pendant près de dix ans est préoccupant. EVA Information Security recommande aux développeurs d'examiner le code source de leurs produits afin de déterminer si leur logiciel est vulnérable.
Apple n'a pas encore commenté la nouvelle.
Source: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
Comment (0)