3 millions. C’est le nombre d’applications iOS et macOS qui ont été exposées à des failles de sécurité en lien avec CocoaPods pendant 10 ans. Il s’agit d’un dépôt open source utilisé par de nombreuses applications populaires développées pour les systèmes d’exploitation d’Apple.

App Store Logo

Des applications iPhone et Mac exposées à des failles pendant 10 ans

CocoaPods permet aux développeurs d’intégrer facilement du code tiers dans leurs applications grâce à des bibliothèques open source. Lorsqu’une bibliothèque est mise à jour, les applications qui l’utilisent reçoivent automatiquement les dernières mises à jour.

Comme l’explique E.V.A Information Security, les failles peuvent conduire les hackers à accéder aux données sensibles de l’application, telles que les détails des cartes bancaires, les dossiers médicaux et les documents privés. Ces données peuvent être utilisées à des fins malveillantes, notamment pour des ransomwares, des fraudes, de l’espionnage d’entreprise et plus encore.

Les vulnérabilités sont en lien avec un mécanisme de vérification par e-mail non sécurisé utilisé pour authentifier les développeurs de pods (bibliothèques) individuels. Par exemple, un hacker peut manipuler l’URL dans un lien de vérification pour pointer vers un serveur malveillant. L’équipe de CocoaPods a déjà pris des mesures pour s’assurer que les failles soient corrigées.

Une fois avertis par E.V.A Information Security, les développeurs de CocoaPods ont effacé toutes les clés de session afin de s’assurer que personne ne puisse accéder aux comptes sans avoir au préalable le contrôle de l’adresse e-mail enregistrée. Ils ont également ajouté une nouvelle procédure pour récupérer d’anciens pods orphelins qui nécessitent de contacter directement les responsables.

Ce n’est pas la première fois que des hackers visent CocoaPods. En 2021, les responsables du projet ont confirmé un problème de sécurité qui permettait aux dépôts CocoaPods d’exécuter un code arbitraire sur les serveurs qui les gèrent. Ce code pouvait être utilisé pour remplacer des paquets existants par des versions malveillantes contenant du code pouvant être intégré dans des applications iOS et Mac.