JAKARTA - Un nouveau rapport révèle qu’environ 3 millions d’applications pour iOS et macOS sont exposées à des attaques potentiellement menacantes de chaîne d’approvisionnement. Cette gamme de vulnérabilités dure depuis près de 10 ans et a récemment été découverte par des chercheurs en sécurité.
La vulnérabilité, qui a été corrigée en octobre de l’année dernière, réside sur un serveur « trunk » utilisé pour gérer les CocoaPods, un dépôt pour les projets SwapT et Objective-C sur lesquels ils dépendent.
Lorsque des développeurs apportent des modifications à l’un de leurs « potes » - le terme COCoaPods pour un ensemble de codes individuels - les applications dépendantes les intégrent généralement automatiquement grâce à des mises à jour d’applications, sans que les utilisateurs finaux interagissent.
Trois vulnérabilités principales ont été découvertes par les chercheurs de l’EVA Information Security. Le premier, le CVE-2024-38367, permet aux attaquants d’insérer des codes malveillants via un mécanisme de vérification par courriel non sécurisé. Deuxièmement, le CVE-2024-38368, permet à l’attaquant de prendre en charge le persons laissés par ses développeurs. Le troisième, le CVE-2024-38366, permet à l’attaquant d’exécuter le code sur le serveur remblai, donnant un accès plein au serveur.
Les chercheurs ont constaté que ces vulnérabilités peuvent être exploitées pour accéder à des informations sensibles des utilisateurs telles que les détails de carte de crédit, les dossiers médicaux et d’autres matériels personnels. Ils ont souligné que de telles attaques peuvent être utilisées à des fins malveillantes telles que le ransomware, la fraude ou le espionnage d’entreprise, qui posent le potentiel de poser des risques juridiques et de la réputation pour l’entreprise.
Bien que ces vulnérabilités aient été améliorées, ces résultats montrent l’importance de la gestion de la sécurité dans le développement de logiciels, surtout lorsqu’il s’agisse de dépendances tiers telles que CocoaPods. Les développeurs d’applications iOS et macOS sont invités à mettre à jour régulièrement les fichiers pod gad. lock, à vérifier CRC contre la dépendance aux CocoaPods et à effectuer un examen de sécurité approfondi des codes tiers utilisés.
Bien qu’il n’y ait aucune preuve immédiate que cette vulnérabilité soit exploitée dans la faune, il est important pour les développeurs d’applications de rester vigilants et de mettre en œuvre des mesures préventives recommandées pour protéger les utilisateurs finaux contre les risques potentiels de sécurité.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
