iPhone : des millions d’applications de l’App Store touchées par une importante faille de sécurité

CocoaPods, un gestionnaire de dépendance qui facilite le développement d’applications sur iOS a récemment été touché par une faille de sécurité, qui pourrait avoir eu des conséquences sur des millions d’applications disponibles sur iPhone.

Un gestionnaire de dépendance comme CocoaPods permet aux développeurs qui utilisent Xcode de gérer les versions des différentes librairies ou encore leur intégration, pour des langages informatiques comme le Swift ou l’Objective-C. CocoaPods est devenu une référence pour les développeurs de logiciels, puisque ceux-ci s’appuient souvent sur du code déjà existant afin d’accélérer le développement de leurs applications.

Contrairement à ce que beaucoup pensent, iOS n’est pas immunisé contre les failles de sécurité, et celles-ci sont plutôt fréquentes. Lundi dernier, CacaoPods a annoncé avoir découvert un problème de sécurité présent dans le logiciel depuis juin 2015, soit il y a presque 6 ans. D’après la déclaration officielle, le coupable serait un paquet qui pouvait exécuter un code arbitraire sur les serveurs qui l'utilisaient. Par conséquent, il pouvait être utilisé par des personnes mal intentionnées pour remplacer des paquets existants par des virus dans des applications iOS utilisées par des millions d’utilisateurs. Pour l’instant, on ne sait pas exactement si cette faille a été exploitée durant ces 6 ans.

SIGNAL UTILISE COCOAPODS, MAIS N’A PAS ÉTÉ AFFECTÉ PAR LA FAILLE
Signal, l'alternative qui se veut plus sécurisée que WhatsApp et Facebook Messenger, est une des 3 millions d’applications qui utilisent CocoaPods. Interrogé à ce sujet par nos confrères de 9to5Mac, le service de messagerie basé sur la confidentialité a répondu qu’il n’avait pas été affecté par cette vulnérabilité. « En général, nous vérifions toutes nos dépendances tierces, tant au moment de leur ajout qu'au moment de leur mise à jour. Nous conservons notre propre copie de toutes ces dépendances afin de faciliter l'audit et d'éviter les changements inattendus, que vous pouvez trouver ici. De plus, nous avons effectué un audit supplémentaire après avoir entendu parler de cette vulnérabilité pour vérifier que le code de ce répertoire correspond au code des balises de toutes nos dépendances » a ajouté Signal.

À lire également : iOS 14.4 – Apple corrige 3 failles critiques via une mise à jour

L’équipe en charge du développement de Signal est expérimentée, mais ce n’est pas forcément le cas de tous les développeurs qui travaillent avec des dépendances. La faille a été corrigée au plus vite par CocoaPods côté serveur, ce qui n’entraine donc aucune action de la part de la plupart des développeurs. Cependant, les seuls développeurs qui devront eux-mêmes prendre des mesures sont ceux qui publient leurs propres paquets sur CocoaPods, puisque leurs tokens d'authentification ont été réinitialisés.