Une série de vulnérabilités récemment découvertes dans un utilitaire open source largement utilisé pourrait causer de gros problèmes à une grande partie des écosystèmes iOS et MacOS. Les bugs en question pourraient avoir un impact sur des milliers d'applications largement utilisées, y compris des programmes populaires comme TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger et bien d'autres, selon recherche en sécurité associéeBien que les composants open source eux-mêmes aient été corrigés, les équipes DevOps des applications impactées s'efforcent certainement de garantir que leurs systèmes sont correctement mis à jour pour protéger les utilisateurs d'une exploitation potentielle.
Les vulnérabilités ont été découvertes dans Les cocopodesun gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C. Les gestionnaires de dépendances sont des outils essentiels dans le processus de développement logiciel, permettant la validation et la signature cryptographique des packages logiciels. La corruption d'un tel outil a évidemment de grandes (et mauvaises) implications pour de grandes parties du Web.
Les insectes des Cocoapods ont été découverts Les chercheurs d'EVA Information Security, une société de cybersécurité et de tests d'intrusion, ont découvert que ces bugs étaient le résultat d'une migration imparfaite du serveur Cocoapods qui a eu lieu en 2014, et qui a rendu orphelins des milliers de progiciels. En raison des failles de sécurité du système, ces progiciels auraient pu facilement être détournés par un acteur malveillant et (hypothétiquement) utilisés pour commettre des attaques de chaîne d'approvisionnement susceptibles d'introduire des mises à jour de code malveillant dans les projets de logiciels d'entreprise qui en dépendent. Les chercheurs décomposent la situation comme suit :
Un processus de migration de 2014 a laissé des milliers de paquets orphelins (dont le propriétaire d'origine est inconnu), dont beaucoup sont encore largement utilisés dans d'autres bibliothèques. En utilisant une API publique et une adresse e-mail disponible dans le code source de CocoaPods, un attaquant pourrait revendiquer la propriété de l'un de ces paquets, ce qui lui permettrait ensuite de remplacer le code source d'origine par son propre code malveillant… Les vulnérabilités que nous avons découvertes pourraient être utilisées pour contrôler le gestionnaire de dépendances lui-même et tout paquet publié. Les dépendances en aval pourraient signifier que des milliers d'applications et des millions d'appareils ont été exposés au cours des dernières années.
Les trois bugs ont depuis été corrigés, mais leur gravité et le fait qu'ils soient restés exposés pendant neuf ans empêchent sûrement de nombreuses équipes de développement de dormir. La raison pour laquelle Apple est au cœur de ce désordre est que de nombreuses applications iOS et MacOS sont codées à l'aide des deux Rapide et Objectif c Les bugs sont particulièrement sensibles aux problèmes en jeu. Les chercheurs écrivent que les bugs pourraient avoir un impact sur des « milliers » ou des « millions » d’applications, et qu’une « attaque sur l’écosystème des applications mobiles pourrait infecter presque tous les appareils Apple, laissant des milliers d’organisations vulnérables à des dommages financiers et à une réputation catastrophiques ».
Les chercheurs affirment n’avoir encore vu aucune preuve suggérant que des applications ont été réellement compromises. Cependant, si certaines l’étaient, cela pourrait évidemment causer de graves problèmes aux utilisateurs. Les chercheurs notent que, comme de nombreuses applications peuvent « accéder aux informations les plus sensibles d’un utilisateur : informations de carte de crédit, dossiers médicaux, documents privés », un cybercriminel pourrait injecter du code dans les applications via les modules compromis, leur permettant « d’accéder à ces informations à presque toutes les fins malveillantes imaginables : ransomware, fraude, chantage, espionnage industriel ».
Les chercheurs ont exhorté les développeurs d’entreprise à examiner leurs produits et à « vérifier l’intégrité des dépendances open source utilisées dans leur code d’application », garantissant ainsi que leurs systèmes et leurs clients ne sont pas exposés.
Le failles de sécurité pouvant survenir dans les logiciels open source sont bien connus. L'industrie du logiciel commercial s'appuie sur le logiciel libre pour créer ses produits commerciaux, mais peu de temps est consacré à consolider et à sécuriser l'écosystème du logiciel libre sur lequel repose l'ensemble d'Internet. Les résultats finaux ne sont, comme on pouvait s'y attendre, pas bons.
Gizmodo a contacté Apple pour obtenir un commentaire et mettra à jour cet article s'il répond.
GIPHY App Key not set. Please check settings