Les vulnérabilités qui sont passées inaperçues pendant une décennie ont laissé des milliers d’applications macOS et iOS vulnérables aux attaques de la chaîne d’approvisionnement. Les hackers auraient pu ajouter du code malveillant compromettant la sécurité de millions voire de milliards de personnes qui les ont installées, ont déclaré des chercheurs lundi. Les vulnérabilités, qui ont été corrigées en octobre dernier, résidaient dans un serveur « trunk » utilisé pour gérer CocoaPods, un référentiel pour projets open source Swift et Objective-C sur lequel environ 3 millions d’applications macOS et iOS dépendent. Lorsque les développeurs apportent des modifications à l’un de leurs « pods » – la terminologie de CocoaPods pour des packages de code individuels – les applications dépendantes les intègrent généralement automatiquement via les mises à jour de l’application, souvent sans interaction requise par les utilisateurs finaux. « De nombreuses applications peuvent accéder aux informations les plus sensibles d’un utilisateur : détails de carte de crédit, dossiers médicaux, matériaux privés, et plus encore », ont écrit les chercheurs d’EVA Information Security, la société qui a découvert la vulnérabilité. « L’injection de code dans ces applications pourrait permettre aux attaquants d’accéder à ces informations à des fins malveillantes presque imaginables – ransomware, fraude, chantage, espionnage d’entreprise… Dans le processus, cela pourrait exposer les entreprises à des responsabilités juridiques majeures et à des risques de réputation. » Les trois vulnérabilités découvertes par EVA découlent d’un mécanisme de vérification d’e-mail non sécurisé utilisé pour authentifier les développeurs de pods individuels. Le développeur entrait l’adresse e-mail associée à son pod. Le serveur trunk répondait en envoyant un lien vers l’adresse. Lorsqu’une personne cliquait sur le lien, elle obtenait un accès au compte. Dans un cas, un attaquant pouvait manipuler l’URL dans le lien pour le faire pointer vers un serveur sous le contrôle de l’attaquant. Le serveur acceptait un XFH falsifié, un en-tête HTTP pour identifier l’hôte cible spécifié dans une requête HTTP. Les chercheurs d’EVA ont découvert qu’ils pouvaient utiliser un XFH forgé pour construire des URL de leur choix.
Donnez vie à vos histoires avec Epidemic Sound
Dans le monde numérique d’aujourd’hui, le contenu visuel est roi. Mais qu’est-ce qui transforme une bonne vidéo en une expérience