- Batterie ordinateur
- ACER ADVENT ALCATEL AMAZON APPLE ASUS AUTEL BAOFENG BBK BENQ BFDX BLACKBERRY BLACKVIEW BLU BOSE BQ CANON CASIO CAT CHUWI CITIZEN CLEVO CMCC COMPAQ COOLPAD CUBOT DELL DJI DOOGEE DOOV DYNABOOK ECOVACS ELEPHONE ETON EZVIZ FANUC FUJIFILM FUJITSU GARMIN GATEWAY GE GETAC GETONG GIGABYTE GIONEE GOOGLE GOPRO HAIER HASEE HBC HILTI HISENSE HOMTOM HONEYWELL HONGJIE HONOR HP HP_COMPAQ HTC HUAWEI HYTERA IBM ICOM IFLYTEK INFINIX INFOCUS ITEL JBL JJRC JUMPER JVC K-TOUCH KENWOOD KIRISUN KODAK KONKA KOOBEE KYOCERA LEAGOO LEICA LENOVO LG LOGITECH MAXELL MEDION MEITU MEIZU MICROMAX MICROSOFT MINDRAY MITSUBISHI MJXRIC MOTOROLA MSI NEC NETGEAR NEWLAND NIKON NINTENDO NOKIA OLYMPUS ONEPLUS OPPO OTHER OUKITEL PACKARD_BELL PANASONIC PARROT PAX PENTAX PHILIPS PRESTIGIO QIKU RAZER REALME RTDPART SAMSUNG SANYO SEIKO SEUIC SHARK SHARP SIEMENS SONY SUNMI SYMA SYMBOL TADIRAN TCL TECNO TOPCON TOSHIBA TP-LINK TRIMBLE TWINHEAD ULEFONE UMI UMIDIGI UNIWILL UROVO VARTA VERTEX VERTU VIVO WEILI WIKO XIAOMI XINNUAN YAESU YUHUIDA ZEBRA ZTE
TOP DES VENTES
Capacité - Tension
ARTICLES RÉCENTS DU BLOG
>
Tous les articles >
iPhone : des millions d’applications de l’App Store touchées par une importante faille de sécuritéiPhone : des millions d’applications de l’App Store touchées par une importante faille de sécurité
CocoaPods, un gestionnaire de dépendance qui facilite le développement d’applications sur iOS a récemment été touché par une faille de sécurité, qui pourrait avoir eu des conséquences sur des millions d’applications disponibles sur iPhone.
Un gestionnaire de dépendance comme CocoaPods permet aux développeurs qui utilisent Xcode de gérer les versions des différentes librairies ou encore leur intégration, pour des langages informatiques comme le Swift ou l’Objective-C. CocoaPods est devenu une référence pour les développeurs de logiciels, puisque ceux-ci s’appuient souvent sur du code déjà existant afin d’accélérer le développement de leurs applications.
Contrairement à ce que beaucoup pensent, iOS n’est pas immunisé contre les failles de sécurité, et celles-ci sont plutôt fréquentes. Lundi dernier, CacaoPods a annoncé avoir découvert un problème de sécurité présent dans le logiciel depuis juin 2015, soit il y a presque 6 ans. D’après la déclaration officielle, le coupable serait un paquet qui pouvait exécuter un code arbitraire sur les serveurs qui l'utilisaient. Par conséquent, il pouvait être utilisé par des personnes mal intentionnées pour remplacer des paquets existants par des virus dans des applications iOS utilisées par des millions d’utilisateurs. Pour l’instant, on ne sait pas exactement si cette faille a été exploitée durant ces 6 ans.
SIGNAL UTILISE COCOAPODS, MAIS N’A PAS ÉTÉ AFFECTÉ PAR LA FAILLE
Signal, l'alternative qui se veut plus sécurisée que WhatsApp et Facebook Messenger, est une des 3 millions d’applications qui utilisent CocoaPods. Interrogé à ce sujet par nos confrères de 9to5Mac, le service de messagerie basé sur la confidentialité a répondu qu’il n’avait pas été affecté par cette vulnérabilité. « En général, nous vérifions toutes nos dépendances tierces, tant au moment de leur ajout qu'au moment de leur mise à jour. Nous conservons notre propre copie de toutes ces dépendances afin de faciliter l'audit et d'éviter les changements inattendus, que vous pouvez trouver ici. De plus, nous avons effectué un audit supplémentaire après avoir entendu parler de cette vulnérabilité pour vérifier que le code de ce répertoire correspond au code des balises de toutes nos dépendances » a ajouté Signal.
À lire également : iOS 14.4 – Apple corrige 3 failles critiques via une mise à jour
L’équipe en charge du développement de Signal est expérimentée, mais ce n’est pas forcément le cas de tous les développeurs qui travaillent avec des dépendances. La faille a été corrigée au plus vite par CocoaPods côté serveur, ce qui n’entraine donc aucune action de la part de la plupart des développeurs. Cependant, les seuls développeurs qui devront eux-mêmes prendre des mesures sont ceux qui publient leurs propres paquets sur CocoaPods, puisque leurs tokens d'authentification ont été réinitialisés.