J'espère que c'est plus « potentiel » que « réel » comme menace. Les spécialistes "Mac" et utilisateurs de CocoaPods me corrigeront. Mais le pourquoi du comment un quidam a pu revendiquer "ah ben cette librairie, c'est « moi qui l'ai fait ! »", euh ...
Bref, au final, quelqu'un a pu prendre le contrôle d'un des morceaux des puzzles que sont les applications de nos jours, et donc POTENTIELLEMENT y faire des trucs pas tout à fait voulu avec, tendance trou de sécurité !
À l’époque, la migration du système d’authentification de la plateforme basé sur GitHub vers un nouveau serveur « Trunk » ne s’est pas tout à fait déroulée comme prévu, réinitialisant l’intégralité des droits de propriété sur l’ensemble des paquets (pods) hébergés par le service. Il a donc fallu que les développeurs se manifestent auprès de CocoaPods pour revendiquer la paternité de leurs propres pods. C’est ici que les choses ont mal tourné. Dans la confusion générale, de nombreux utilisateurs et utilisatrices de la plateforme n’ont jamais réclamé leurs pods qui, à ce jour, demeurent sans propriétaire.
Problème : jusqu’en 2023, le processus permettant de réclamer des pods était toujours accessible au public. En clair, n’importe qui ayant connaissance de cette information pouvait mettre la main sur des dépendances orphelines stockées par CocoaPods, les manipuler et appliquer ces modifications aux applications iOS et macOS qui les intègrent.
clubic.com
Bref, tout ce qui a pu dépendre d'une dépendance dépendant d'une librairie qui a été réclamée par un vilain-pas-bô sur CocoaPods après sa migration, ben vala, c'est un potentiel danger.
CocoaPods kezako:
With about 100,000 libraries used in over 3 million mobile apps, is an open source dependency manager for Swift and Objective-C projects. Dependency managers such as CocoaPods and others (including NPM, Maven, and PyPI) play a critical role in open source software supply chains.
Source : E.V.A.