La société israélienne de cybersécurité et de tests EVA Information Security a découvert un bug dans Cocoapods, un gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C.

Dependency Manager est un outil important dans le processus de développement logiciel, permettant l'authentification et la signature cryptographique des packages logiciels. Par conséquent, un problème avec un tel outil aurait un impact négatif sur de nombreuses parties du logiciel ou du Web.

Selon EVA Information Security, le problème existe peut-être depuis 2014, à la suite d'une migration ratée du serveur Cocoapods qui a laissé des milliers de packages de bibliothèques logicielles non liés à leurs fichiers sources d'origine et impossibles à retracer jusqu'à leur source. Il s’agit d’une faille qui permet aux attaquants de remplacer le code source d’origine par leur propre code malveillant.

« En raison de failles de sécurité du système, ces packages peuvent être détournés par des individus malveillants, puis utilisés pour injecter des logiciels malveillants dans les outils de développement logiciel des développeurs. Comme ils n'ont pas été détectés pendant longtemps, des milliers d'applications et des millions d'appareils ont été exposés au fil des ans », a déclaré le représentant de l'entreprise.

Étant donné que de nombreuses applications ont accès à des informations sensibles sur les utilisateurs, telles que les cartes de crédit, les dossiers médicaux et les documents privés, les pirates peuvent exploiter les vulnérabilités, installer des ransomwares ou d'autres types de logiciels malveillants pour les collecter.

EVA Information Security estime qu'Apple est « au centre du désordre » alors que la plupart des applications iOS et macOS sont codées en langages Swift et Objective-C, y compris des noms populaires tels que TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.

En conséquence, des milliers d’applications sur ces plateformes pourraient être affectées. Une attaque sur l’écosystème des applications mobiles pourrait infecter la plupart des appareils Apple, laissant des milliers d’organisations vulnérables financièrement et en termes de réputation.

Les bugs auraient été corrigés par Cocoapods, mais le fait qu'ils soient restés inaperçus pendant près d'une décennie est une source d'inquiétude. EVA Information Security recommande aux développeurs de revoir le code source de leur produit pour déterminer si le logiciel est vulnérable aux bogues.

Apple n'a pas encore commenté la nouvelle.