NLTO
/ Magazine d'actualité politique, économique et internationale /




Sécurité : une énorme faille découverte sur les applis Apple







3 Juillet 2024

Depuis plus de dix ans, une vulnérabilité critique a persisté au cœur de millions d'applications iOS et macOS, menaçant la sécurité des données des utilisateurs. Découverte par les chercheurs en cybersécurité d’EVA Information Security, cette faille touche le gestionnaire de dépendances CocoaPods, utilisé par les développeurs d'applications Apple.


Apple : d’où vient la faille de sécurité ?

CocoaPods est en cause dans cette faille de sécurité qui frappe Apple et ses utilisateurs. CocoaPods, un outil open-source populaire parmi les développeurs d'applications iOS et macOS, permet de gérer facilement les bibliothèques externes. Cependant, une migration de serveur en 2014 a introduit des vulnérabilités qui sont restées non détectées pendant près d'une décennie. Ces failles permettent à des attaquants de prendre le contrôle des paquets logiciels "orphelins" et d'y injecter du code malveillant. Les failles incluent des problèmes dans le mécanisme de vérification des e-mails des développeurs, permettant à des attaquants de rediriger les liens de vérification vers des serveurs malveillants.

Environ 3 millions d'applications, dont des géants comme Instagram, Uber, Airbnb, Tinder et Slack, sont concernées. Ces applications pourraient permettre aux pirates d'accéder à des données sensibles telles que des informations bancaires, des dossiers médicaux et d'autres données privées des utilisateurs. Heureusement, aucune exploitation directe de ces vulnérabilités n'a été confirmée à ce jour.

Des mesures proactives pour protéger les utilisateurs

Suite à la découverte des failles, CocoaPods a pris des mesures correctives de correction. Toutes les clés de session ont été effacées pour empêcher l'accès non autorisé aux comptes de développeurs. De plus, un nouveau processus de récupération des paquets orphelins a été mis en place, nécessitant un contact direct avec les développeurs responsables. Les développeurs utilisant CocoaPods sont invités à vérifier l'intégrité des dépendances qu'ils utilisent et à effectuer régulièrement des analyses de sécurité pour détecter tout code malveillant dans les bibliothèques externes.

Les utilisateurs des applications vulnérables courent un risque élevé de voir leurs données personnelles compromises. Les informations sensibles comme les numéros de carte de crédit, les dossiers médicaux et d'autres données personnelles pourraient être dérobées et utilisées pour diverses activités malveillantes telles que la fraude, le chantage, les rançongiciels et l'espionnage industriel.