« 3 millions d’applications iOS et macOS ont été exposées à des attaques potentielles de la chaîne d’approvisionnement »

Les vulnérabilités qui sont passées inaperçues pendant une décennie ont laissé des milliers d’applications macOS et iOS vulnérables aux attaques de la chaîne d’approvisionnement. Les hackers auraient pu ajouter du code malveillant compromettant la sécurité de millions voire de milliards de personnes qui les ont installées, ont déclaré des chercheurs lundi. Les vulnérabilités, qui ont été corrigées en octobre dernier, résidaient dans un serveur « trunk » utilisé pour gérer CocoaPods, un référentiel pour projets open source Swift et Objective-C sur lequel environ 3 millions d’applications macOS et iOS dépendent. Lorsque les développeurs apportent des modifications à l’un de leurs « pods » – la terminologie de CocoaPods pour des packages de code individuels – les applications dépendantes les intègrent généralement automatiquement via les mises à jour de l’application, souvent sans interaction requise par les utilisateurs finaux. « De nombreuses applications peuvent accéder aux informations les plus sensibles d’un utilisateur : détails de carte de crédit, dossiers médicaux, matériaux privés, et plus encore », ont écrit les chercheurs d’EVA Information Security, la société qui a découvert la vulnérabilité. « L’injection de code dans ces applications pourrait permettre aux attaquants d’accéder à ces informations à des fins malveillantes presque imaginables – ransomware, fraude, chantage, espionnage d’entreprise… Dans le processus, cela pourrait exposer les entreprises à des responsabilités juridiques majeures et à des risques de réputation. » Les trois vulnérabilités découvertes par EVA découlent d’un mécanisme de vérification d’e-mail non sécurisé utilisé pour authentifier les développeurs de pods individuels. Le développeur entrait l’adresse e-mail associée à son pod. Le serveur trunk répondait en envoyant un lien vers l’adresse. Lorsqu’une personne cliquait sur le lien, elle obtenait un accès au compte. Dans un cas, un attaquant pouvait manipuler l’URL dans le lien pour le faire pointer vers un serveur sous le contrôle de l’attaquant. Le serveur acceptait un XFH falsifié, un en-tête HTTP pour identifier l’hôte cible spécifié dans une requête HTTP. Les chercheurs d’EVA ont découvert qu’ils pouvaient utiliser un XFH forgé pour construire des URL de leur choix.

Share the Post:

« Survivre cet été sur Internet »

Un après-midi d’août, alors qu’un suprémaciste blanc conduisait une voiture à travers une foule de manifestants pacifiques à Charlottesville, en

Cosmo, le hacker « Dieu » qui est tombé sur Terre

Cosmo est énorme : 6 pieds 7 pouces et 220 livres la dernière fois qu’il a été pesé, dans un

« Ceci est un philosophe sous l’influence de drogues. »

Il y a quelque chose de curieux dans le désintérêt que les philosophes montrent pour l’expérimentation avec des drogues altérant

« La fin de Burning Man est aussi son avenir. »

Une tempête frappant le désert ne figurait sur la carte bingo de personne pour l’édition 2023 de Burning Man. Ce

« Interview avec le Luddite »

Kelly : Outre l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale : Les

Les meilleurs casques antibruit

I’m sorry, but it seems like you forgot to provide the text that needs to be translated. Could you please

Les meilleurs sacs messager et sacs bandoulière.

It seems like you forgot to provide the English text that you would like me to translate to French. Could

Revue : Cybex e-Gazelle S.

Quand mon fils était petit, mon accessoire préféré pour la poussette était un petit ajout appelé le Rockit. En forme