![Apple Apple](images/news/categories/apple.png)
Le mécanisme fonctionne ainsi : pour accéder au pod, un développeur devait saisir l'adresse email associée à son pod, puis le serveur répond en envoyant un lien vers l'adresse. Lorsque le développeur clique sur le lien, il accède au compte. Dans un cas (CVE-2024-38367), un attaquant aurait pu manipuler l'URL du lien pour pointer vers un serveur sous son contrôle. Dans un autre exemple (CVE-2024-38368), des attaquants pourraient prendre le contrôle de pods abandonnés par leurs développeurs, mais qui continuent d'être utilisés par les applications. Les attaquants pouvaient accéder aux pods sans avoir à prouver qu’ils y avaient droit. Dans le troisième cas (CVE-2024-38366), les attaquants pourraient exécuter du code malveillant directement sur le serveur qui envoie le lien de connexion aux développeurs. « La possibilité d'exécuter des commandes shell arbitraires sur le serveur a donné à un éventuel attaquant la possibilité de lire des variables d'environnement, qui pourraient être utilisées pour écrire dans le référentiel CocoaPods/Specs et lire la base de données du serveur », a expliqué Orta Therox, responsable de CocoaPods. « Pouvoir inciter les gens à cliquer sur un lien qui les mènerait vers un site tiers pourrait être utilisé pour voler leurs clés de session. Je ne peux pas garantir que tout cela s'est produit, et je préfère être en sécurité. » a continué. Therox a déclaré que le pire des cas serait un attaquant qui aurait utilisé cette technique pour obtenir des clés de session donnant accès aux comptes de développeurs d'applications et connectant des utilisateurs authentifiés aux pods.
Soyons clairs : les vulnérabilités ont déjà été corrigées. Après que les chercheurs d'EVA ont informé en privé les développeurs de CocoaPods des vulnérabilités, l'équipe de CocoaPods a déjà pris des mesures en octobre 2023 pour garantir que les exploits soient corrigés. Parmi les mesures, toutes les clés de session ont été supprimées pour garantir que personne ne puisse accéder aux comptes sans avoir au préalable le contrôle de l'adresse e-mail enregistrée. De plus, une nouvelle procédure a été ajoutée pour la récupération des anciens pods abandonnés qui nécessite de contacter directement les mainteneurs . Un développeur doit désormais contacter directement CocoaPods pour prendre en charge l'une de ces dépendances. Le risque est cependant grand. EVA Information Security a révélé que l'exploit pourrait conduire les attaquants à accéder aux données sensibles des applications telles que les détails de la carte de crédit, les dossiers médicaux et les documents privés. Les données pourraient être utilisées à diverses fins, notamment les ransomwares, la fraude, le chantage et l’espionnage industriel. Les chercheurs ont écrit qu'il n'existe aucune preuve directe que l'une de ces vulnérabilités ait été exploitée, mais " une preuve d'absence n'est pas une absence de preuve ". En substance, cela ne peut être exclu .
Aucune action n'est requise de la part des développeurs d'applications ou des utilisateurs qui les utilisent. Les chercheurs d'EVA ont cependant conseillé aux développeurs d'applications qui utilisaient des CocoaPods avant octobre de synchroniser le pod pour s'assurer qu'il est à jour et d'examiner les dépendances pour s'assurer qu'ils n'utilisent pas un pod abandonné. Il est également préférable de vous assurer que vous utilisez des dépendances activement entretenues et clairement détenues, ou que vous effectuez des analyses de code périodiques. Méfiez-vous enfin des addictions très populaires, qui sont plus susceptibles d’être ciblées par les attaquants. Nous vous rappelons que CocoaPods a déjà fait l'objet d'une attaque en 2021 qui a permis à des référentiels d'exécuter du code arbitraire sur les serveurs qui le gèrent, permettant aux attaquants de remplacer des packages existants par des versions malveillantes. Il en résulte un code malveillant qui aurait pu se frayer un chemin dans les applications iOS et macOS.
![](images/base_document.png)
![English English](images/en_flag.png)
![](images/base_document.png)
![](images/news_comments.png)
Vous devez être identifié pour accéder à cette fonctionnalité