Une faille de sécurité a exposé 3 millions d'applis iOS pendant 10 ans

Une énorme faille de sécurité a exposé près de 3 millions d’applications iOS et macOS pendant une décennie. EVA Information Security a découvert cette vulnérabilité majeure qui aurait pu permettre le vol de nombreuses données utilisateurs. Cette faille provient de CocoaPods, un hébergeur de code open-source.

Un projet open source vulnérable

De nombreuses applications utilisent des fonctionnalités similaires en s'appuyant sur des bibliothèques de code open-source. CocoaPods, lancé en 2011, permet aux développeurs de récupérer des "pods" contenant du code pour leurs applications. Les applications se mettent à jour automatiquement en fonction des mises à jour de ces bibliothèques. EVA Information Security révèle que les failles remontent à 2014, liées à une mauvaise migration de serveur.

Une faille en cascade

La migration incomplète de 2014 a laissé de nombreuses bibliothèques de code sans propriétaire, ouvrant la porte à l'injection de malwares. Un problème d’authentification et de vérification d’e-mail non sécurisé permettait également de rediriger les URLs vers de mauvais serveurs. Ces failles pouvaient permettre l’accès à des données sensibles comme les détails de carte de crédit ou des dossiers médicaux, menant à des risques de fraude, chantage ou espionnage industriel. Les entreprises utilisant ce code pourraient faire face à des répercussions juridiques.

Heureusement, EVA Information Security rassure en indiquant que ces failles ont été corrigées en octobre dernier après avoir travaillé avec CocoaPods. Cependant, ils conseillent aux développeurs de vérifier le code de leurs bibliothèques externes.