Les vulnérabilités qui sont passées inaperçues pendant une décennie ont laissé des milliers d’applications macOS et iOS vulnérables aux attaques de la chaîne d’approvisionnement. Les hackers auraient pu ajouter du code malveillant compromettant la sécurité de millions voire de milliards de personnes qui les ont installées, ont déclaré des chercheurs lundi. Les vulnérabilités, qui ont été corrigées en octobre dernier, résidaient dans un serveur « trunk » utilisé pour gérer CocoaPods, un référentiel pour projets open source Swift et Objective-C sur lequel environ 3 millions d’applications macOS et iOS dépendent. Lorsque les développeurs apportent des modifications à l’un de leurs « pods » – la terminologie de CocoaPods pour des packages de code individuels – les applications dépendantes les intègrent généralement automatiquement via les mises à jour de l’application, souvent sans interaction requise par les utilisateurs finaux. « De nombreuses applications peuvent accéder aux informations les plus sensibles d’un utilisateur : détails de carte de crédit, dossiers médicaux, matériaux privés, et plus encore », ont écrit les chercheurs d’EVA Information Security, la société qui a découvert la vulnérabilité. « L’injection de code dans ces applications pourrait permettre aux attaquants d’accéder à ces informations à des fins malveillantes presque imaginables – ransomware, fraude, chantage, espionnage d’entreprise… Dans le processus, cela pourrait exposer les entreprises à des responsabilités juridiques majeures et à des risques de réputation. » Les trois vulnérabilités découvertes par EVA découlent d’un mécanisme de vérification d’e-mail non sécurisé utilisé pour authentifier les développeurs de pods individuels. Le développeur entrait l’adresse e-mail associée à son pod. Le serveur trunk répondait en envoyant un lien vers l’adresse. Lorsqu’une personne cliquait sur le lien, elle obtenait un accès au compte. Dans un cas, un attaquant pouvait manipuler l’URL dans le lien pour le faire pointer vers un serveur sous le contrôle de l’attaquant. Le serveur acceptait un XFH falsifié, un en-tête HTTP pour identifier l’hôte cible spécifié dans une requête HTTP. Les chercheurs d’EVA ont découvert qu’ils pouvaient utiliser un XFH forgé pour construire des URL de leur choix.
« Désarmer l’IA » : l’encyclique historique du pape Léon XIV, ClickUp remplace 22 % de ses employés par 3 000 agents IA et la Gen Z se révolte contre l’intelligence artificielle
Le pape Léon XIV publie Magnifica humanitas, première encyclique dédiée à la dignité humaine face à l’IA. ClickUp licencie 22 % de son personnel et déploie 3 000 agents IA. La Gen Z américaine hue les discours pro-IA. Google prépare ses Googlebooks et la Chine donne une identité numérique aux robots. Décryptage par Netz Informatique.