Dix ans : c’est le temps dont ont disposé plusieurs failles de sécurité critiques dans CocoaPods avant d’être repérées par les équipes de sécurité d’E.V.A. Un laps de temps suffisamment long pour que des millions d’applications iOS et macOS soient concernées, et des milliards d’appareils Apple exposés. Ces vulnérabilités, très sérieuses, pourraient permettre aux cyberattaquants de mener des attaques supply chain et d’exécuter du code arbitraire en vue de dérober des données très sensibles, comme des informations bancaires.
Un problème de migration mal gérée
C’est avant tout une menace qui doit alerter les développeurs d’applications pour iOS et macOS. Nichées dans CocoaPods, gestionnaire de dépendances pour les projets Swift et Objective-C offrant la possibilité de manipuler plus de 100 000 librairies externes, ces failles remontent à 2014.
À l’époque, la migration du système d’authentification de la plateforme basé sur GitHub vers un nouveau serveur « Trunk » ne s’est pas tout à fait déroulée comme prévu, réinitialisant l’intégralité des droits de propriété sur l’ensemble des paquets (pods) hébergés par le service. Il a donc fallu que les développeurs se manifestent auprès de CocoaPods pour revendiquer la paternité de leurs propres pods. C’est ici que les choses ont mal tourné. Dans la confusion générale, de nombreux utilisateurs et utilisatrices de la plateforme n’ont jamais réclamé leurs pods qui, à ce jour, demeurent sans propriétaire.
Problème : jusqu’en 2023, le processus permettant de réclamer des pods était toujours accessible au public. En clair, n’importe qui ayant connaissance de cette information pouvait mettre la main sur des dépendances orphelines stockées par CocoaPods, les manipuler et appliquer ces modifications aux applications iOS et macOS qui les intègrent.
Niveau de criticité CVSS maximal
Ces failles critiques, au nombre de trois, ont été signalées par les équipes d’E.V.A. à CocoaPods en amont de leur révélation publique. La plus sérieuse d’entre elles, estampillée CVE-2024-38366, atteint un score CVSS de 10 et permet d’exécuter du code arbitraire sur le serveur Trunk, d’y obtenir un accès complet, et ainsi de prendre le contrôle de l’ensemble des pods hébergés par le gestionnaire de dépendances, orphelins ET propriétaires. Par extension, l’élévation de ces privilèges permettrait à des pirates de modifier les différents paquets, d’y ajouter du code malveillant et de les charger dans les applications qui s’en servent sans que personne s'en rende compte, ni les développeurs, ni les utilisateurs.
À ce stade, c’est la sécurité des données personnelles les plus sensibles des utilisateurs qui est en jeu. En exploitant une telle vulnérabilité, les hackers pourraient sans difficulté mettre la main sur des informations bancaires, des dossiers médicaux, des échanges privés, etc. Il leur serait également possible de mettre en place des campagnes de cyberattaques d’une tout autre envergure, incluant la propagation de ransomwares, de tentatives de fraudes, de chantage, voire d’espionnage industriel.
01 juillet 2024 à 10h27
En dépit de l’urgence de la situation, les équipes d’E.V.A. comme celles de CocoaPods ne peuvent confirmer si ces failles ont déjà été exploitées. Maintenant qu’elles ont été révélées au grand public, les développeurs Apple utilisant le gestionnaire compromis sont invités à vérifier le plus rapidement possible l’intégrité des dépendances qu’ils utilisent et à scanner régulièrement leurs projets pour détecter d’éventuels bouts de code malveillant. Concernant les utilisateurs et utilisatrices finaux, qui ne peuvent concrètement prendre la main sur les paquets vulnérables, il leur est conseillé de bien mettre à jour leurs applications le plus rapidement possible, et de garder un œil sur les autorisations requises.
Source : E.V.A.
