La société israélienne de cybersécurité et de tests EVA Information Security a découvert un bug dans Cocoapods, un gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C.
Dependency Manager est un outil important dans le processus de développement logiciel, permettant l'authentification et la signature cryptographique des progiciels. Par conséquent, un problème avec un tel outil aurait un impact négatif sur de nombreuses parties du logiciel ou du Web.
Selon EVA Information Security, le problème pourrait exister depuis 2014, à la suite d'une migration ratée du serveur Cocoapods qui a laissé des milliers de packages de bibliothèques logicielles non liés à leurs fichiers sources d'origine et impossibles à retracer jusqu'à leur source. Il s’agit d’une faille qui permet aux attaquants de remplacer le code source d’origine par leur propre code malveillant.
« En raison des failles de sécurité du système, ces packages peuvent être détournés par des personnes malveillantes, puis utilisés pour injecter des logiciels malveillants dans les outils de développement de logiciels destinés aux développeurs. Comme ils n'ont pas été détectés pendant longtemps, cela signifie que des milliers d'applications et des millions d'appareils ont été exposés au fil des ans », a déclaré le représentant de l'entreprise.
De nombreuses applications ayant accès aux informations sensibles des utilisateurs, telles que les cartes de crédit, les dossiers médicaux et les documents privés, les pirates peuvent exploiter les vulnérabilités, installer des ransomwares ou d'autres types de logiciels malveillants pour les collecter.
EVA Information Security estime qu'Apple est « au centre du désordre » alors que la plupart des applications iOS et macOS sont codées en langages Swift et Objective-C, y compris des noms populaires tels que TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.
En conséquence, des milliers d’applications sur ces plateformes pourraient être affectées. Une attaque sur l’écosystème des applications mobiles pourrait infecter la plupart des appareils Apple, laissant des milliers d’organisations vulnérables financièrement et en termes de réputation.
Les bugs auraient été corrigés par Cocoapods, mais le fait qu'ils soient restés inaperçus pendant près d'une décennie est une source d'inquiétude. EVA Information Security recommande aux développeurs de vérifier le code source de leur produit pour déterminer si le logiciel est vulnérable aux bugs.
Apple n'a pas encore commenté la nouvelle.
Source : https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
Comment (0)