EVA Information Security, une société israélienne spécialisée dans la cybersécurité et les tests, a découvert un bug dans Cocoapods, un gestionnaire de dépendances largement utilisé pour les projets logiciels codés dans les langages de programmation Swift et Objective-C.
Le gestionnaire de dépendances est un outil essentiel au développement logiciel, permettant la validation et la signature cryptographique des packages logiciels. Par conséquent, un problème avec un tel outil peut avoir un impact négatif sur de nombreux aspects du logiciel ou du web.
Selon EVA Information Security, le problème existerait depuis 2014 et résulterait d'une migration ratée du serveur Cocoapods, qui a laissé des milliers de packages de bibliothèques logicielles sans lien avec leurs fichiers sources d'origine et sans possibilité de retracer leur origine. Cette faille permet aux attaquants de remplacer le code source d'origine par leur propre code malveillant.
« En raison de failles de sécurité du système, ces packages peuvent être détournés par des individus malveillants, puis utilisés pour injecter des logiciels malveillants dans les outils de développement logiciel des développeurs. Comme ils n'ont pas été détectés pendant longtemps, des milliers d'applications et des millions d'appareils ont été exposés au fil des ans », a déclaré un représentant de l'entreprise.
Étant donné que de nombreuses applications ont accès à des informations sensibles sur les utilisateurs, telles que les cartes de crédit, les dossiers médicaux et les documents privés, les pirates peuvent exploiter les vulnérabilités, installer des ransomwares ou d’autres types de logiciels malveillants pour les collecter.
EVA Information Security estime qu'Apple est « au centre du désordre » alors que la plupart des applications iOS et macOS sont codées en langages Swift et Objective-C, y compris des noms populaires tels que TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.
Des milliers d'applications sur ces plateformes pourraient ainsi être affectées. Une attaque visant l'écosystème des applications mobiles pourrait infecter la plupart des appareils Apple, laissant des milliers d'organisations vulnérables sur le plan financier et de la réputation.
Les bugs auraient été corrigés par Cocoapods, mais le fait qu'ils soient restés inaperçus pendant près de dix ans est préoccupant. EVA Information Security recommande aux développeurs d'examiner le code source de leurs produits afin de déterminer si leur logiciel est vulnérable.
Apple n'a pas encore commenté la nouvelle.
Source : https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
![[Photo] Les dirigeants provinciaux de Gia Lai offrent des fleurs au monument de l'Oncle Ho avec les groupes ethniques des hauts plateaux centraux](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/7/9/196438801da24b3cb6158d0501984818)
Comment (0)