App Store : une faille de sécurité touche des millions d’applications
Une vulnérabilité d’exécution de code à distance dans le serveur central CocoaPods aurait pu avoir un impact sur trois millions d’applications de l’Apple Store. Rapidement patchée une fois détectée, la grave faille de sécurité se cachait depuis 2015.
CocoaPods touché par une importante faille de sécurité
CocoaPods, un gestionnaire de dépendances, a récemment été touché par une faille de sécurité. Celle-ci pourrait avoir eu des conséquences sur des millions d’applications disponibles sur iPhone.
Les développeurs de logiciels s’appuient souvent sur du code écrit par d’autres entreprises afin d’accélérer le développement de leurs produits. Pour faciliter la gestion du code à partir d’autres sources, les développeurs utilisent un outil appelé gestionnaire de dépendances. Le gestionnaire de dépendances le plus populaire pour les applications iOS est de loin CocoaPods.
Les responsables du projet ont publié une déclaration révélant un problème de sécurité présent dans le logiciel depuis 2015.
En fait, le problème était qu’un paquet malveillant publié dans le dépôt CocoaPods pouvait exécuter du code sur les serveurs qui le gèrent. Des pirates pouvaient remplacer des paquets par des virus, expédiés dans les applications iOS et Mac utilisées dans le monde entier. Pour l’instant, on ne sait pas si cette faille a été exploitée durant ces 6 ans.
Signal utilise CocoaPods mais n’a pas été touché
Signal est une des 3 millions d’applications qui utilisent CocoaPods. Cependant, le service de messagerie affirme que cette faille ne l’a pas touché. En effet, les développeurs de Signal vérifient le code systématiquement avant de publier une mise à jour.
CocoaPods a corrigé la faille côté serveur, ce qui n’entraine donc aucune action de la part de la plupart des développeurs.
Encore un peu de temps ? Découvrez la faille de sécurité de l’App Store qui lui fait perdre 600 000 dollars !