Une série de vulnérabilités récemment découvertes dans un utilitaire logiciel open source largement utilisé pourrait engendrer de gross problèmes pour de grandes parties de l’iOS et Écosystèmes MacOS. Les bugs en question pourraient avoir un impact sur des milliers d’applications largement utilisées, y compris des programmes populaires comme TikTok, Snapchat, LinkedIn, Netflix, Microsoft. Teams, Facebook Messenger, et bien d’autres, selon recherche en sécurité associée. Bien que les composants open source eux-mêmes aient été corrigés, les équipes DevOps pour les applications concernées se démènent sûrement pour s’assurer que leurs systèmes fonctionnent correctement. mis à jour pour protéger les utilisateurs contre une exploitation potentielle.
Les vulnérabilités ont découvertes dans Cocoapods, un gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C. Les gestionnaires de dépendances sont des outils essentiels dans le domaine processus de développement de logiciels, permettant la validation et la signature cryptographique des progiciels. La corruption d’un tel outil a évidemment de grandes conséquences (et mauvaises) implications pour de grandes parties du Web.
Les bugs des Cocoapods ont été découverts par des chercheurs d’EVA Information Security, une société de cybersécurité et de tests d’intrusion. Les bogues sont le résultat d’une migration imparfaite du serveur Cocoapods qui a pris place en 2014, dont des milliers de progiciels ont été “orphelins”.En raison des déficiences de sécurité du système, ceux les paquets auraient pu facilement être réquisitionnés par un mauvais acteur et (hypothétiquement) utilisés pour commettre des attaques sur la chaîne d’approvisionnement qui pourraient introduire des mises à jour de code malveillantes aux projets de logiciels d’entreprise qui s’appuient sur eux. Les chercheurs décomposent la situation comme ceci :
Un processus de migration de 2014 a laissé des milliers de paquets orphelins (dont le propriétaire d’origine est inconnu), dont beaucoup sont encore largement utilisés dans d’autres bibliothèques. En utilisant une API publique et une adresse e-mail disponible dans le code source de CocoaPods, un attaquant pourrait revendiquer la propriété de n’importe quel de ces packages, ce qui permettrait alors à l’attaquant de remplacer le code source d’origine par son propre code malveillant… Les vulnérabilités que nous découvert pourrait être utilisé pour contrôler le gestionnaire de dépendances lui-même et tout package publié. Les dépendances en aval pourraient signifier que des milliers d’applications et des millions des appareils ont été exposés au ces dernières années.
Les trois bogues ont depuis été corrigés, mais leur gravité et le fait qu’ils ont été laissés exposés pendant autant de fois que neuf ans, ce qui fait que de nombreuses équipes logicielles restent actives la nuit. La raison pour laquelle Apple est à l’avant-plan et au centre de le problème est que de nombreuses applications iOS et MacOS sont codées en utilisant les deux Rapide et Objectif c langues, ce qui les rend particulièrement sensibles aux problèmes en jeu. Les chercheurs écrivent que les bugs pourraient avoir un impact soit sur des « milliers », soit sur des millions de personnes. applications, et qu’une « attaque contre l’écosystème d’applications mobiles pourrait infecter presque tous les appareils Apple, laissant des milliers d’organisations vulnérables aux catastrophes. des dommages financiers et à la réputation.
Les chercheurs affirment qu’ils n’ont pas encore vu de preuves suggérant que les applications ont été réellement compromises. Cependant, si certaines l’étaient, cela pourrait évidemment signifier des problèmes majeurs. des problèmes pour les utilisateurs. Les chercheurs notent que parce que de nombreuses applications peuvent « accéder aux informations les plus sensibles d’un utilisateur : détails de la carte de crédit, dossiers médicaux, informations privées. matériels », un cybercriminel pourrait injecter du code dans les applications via les modules compromis, leur permettant ainsi d’accéder à ces informations pour presque tous les logiciels malveillants. but imaginable – ransomware, fraude, chantage, espionnage d’entreprise.
Les chercheurs ont exhorté les développeurs d’entreprise à revoir leurs produits et à « vérifier l’intégrité des dépendances open source utilisées dans leur code d’application », garantissant ainsi que leurs systèmes et leurs clients ne soient pas exposés.
Le failles de sécurité qui peuvent survenir dans les logiciels open source sont bien connus. L’industrie du logiciel commercial s’appuie sur les logiciels libres pour créer ses produits commerciaux, mais peu de temps est consacré à le consolider et à le renforcer. sécuriser l’écosystème de logiciels libres sur lequel l’ensemble d’Internet est construit. Les résultats finaux sont, comme on pouvait s’y attendre, pas bons.
Gizmodo a contacté Apple pour obtenir des commentaires et mettra à jour cette histoire s’il répond.
