De nouveaux bugs Open Source rendent des milliers d’applications iOS vulnérables au piratage

Une série de vulnérabilités récemment découvertes dans un utilitaire logiciel open source largement utilisé pourrait causer de gros problèmes à une grande partie des écosystèmes iOS et MacOS. Les bugs en question pourraient affecter des milliers d'applications largement utilisées, y compris des programmes populaires comme TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger et bien d'autres, selon une recherche de sécurité associée . Même si les composants open source eux-mêmes ont été corrigés, les équipes DevOps chargées des applications concernées se démènent sûrement pour garantir que leurs systèmes sont correctement mis à jour afin de protéger les utilisateurs contre une exploitation potentielle.

Les vulnérabilités ont été découvertes dans Cocoapods , un gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C. Les gestionnaires de dépendances sont des outils essentiels dans le processus de développement logiciel, permettant la validation et la signature cryptographique des progiciels. La corruption d’un tel outil a évidemment de grandes (et mauvaises) implications pour de grandes parties du Web.

Les bogues Cocoapods ont été découverts par des chercheurs d'EVA Information Security, une société de cybersécurité et de tests d'intrusion. Les bogues sont le résultat d’une migration imparfaite du serveur Cocoapods qui a eu lieu en 2014, qui a rendu « orphelins » des milliers de logiciels. En raison des failles de sécurité du système, ces packages auraient pu facilement être réquisitionnés par un mauvais acteur et (hypothétiquement) utilisés pour commettre des attaques sur la chaîne d'approvisionnement qui pourraient introduire des mises à jour de code malveillant dans les projets logiciels d'entreprise qui en dépendent. Les chercheurs décomposent la situation comme ceci :

Un processus de migration en 2014 a laissé des milliers de paquets orphelins (dont le propriétaire d'origine est inconnu), dont beaucoup sont encore largement utilisés dans d'autres bibliothèques. En utilisant une API publique et une adresse e-mail disponible dans le code source de CocoaPods, un attaquant pourrait revendiquer la propriété de n'importe lequel de ces packages, ce qui lui permettrait alors de remplacer le code source d'origine par son propre code malveillant... Les vulnérabilités nous avons découvert qu'il pouvait être utilisé pour contrôler le gestionnaire de dépendances lui-même et tout package publié. Les dépendances en aval pourraient signifier que des milliers d’applications et des millions d’appareils ont été exposés au cours des dernières années.

Les trois bogues ont depuis été corrigés, mais leur gravité et le fait qu'ils soient restés exposés pendant neuf ans empêchent sûrement de nombreuses équipes logicielles de dormir la nuit. La raison pour laquelle Apple est au centre de ce désordre est que de nombreuses applications iOS et MacOS sont codées à l’aide des langages Swift et Objective-C , ce qui les rend particulièrement sensibles aux problèmes en jeu. Les chercheurs écrivent que les bugs pourraient affecter « des milliers » ou des « millions » d’applications, et qu’une « attaque contre l’écosystème des applications mobiles pourrait infecter presque tous les appareils Apple, laissant des milliers d’organisations vulnérables à des dommages financiers et à leur réputation catastrophiques ».

Les chercheurs affirment qu’ils n’ont encore vu aucune preuve suggérant que les applications ont été réellement compromises. Cependant, si certains l’étaient, cela pourrait évidemment entraîner des problèmes majeurs pour les utilisateurs. Les chercheurs notent que parce que de nombreuses applications peuvent « accéder aux informations les plus sensibles d'un utilisateur : détails de carte de crédit, dossiers médicaux, documents privés », un cybercriminel pourrait injecter du code dans les applications via les pods compromis, leur permettant « d'accéder à ces informations pour presque toutes les applications malveillantes ». but imaginable : ransomware, fraude, chantage, espionnage industriel. »

Les chercheurs ont exhorté les développeurs d'entreprise à revoir leurs produits et à « vérifier l'intégrité des dépendances open source utilisées dans le code de leur application », garantissant ainsi que leurs systèmes et leurs clients ne sont pas exposés.

Les failles de sécurité qui peuvent survenir dans les logiciels open source sont bien connues. L’industrie du logiciel commercial s’appuie sur les logiciels libres pour créer ses produits commerciaux, mais peu de temps est consacré au renforcement et à la sécurisation de l’écosystème du logiciel libre sur lequel repose l’ensemble d’Internet. Comme on pouvait s’y attendre, les résultats finaux ne sont pas bons.

Gizmodo a contacté Apple pour commentaires et mettra à jour cette histoire s'il répond.