Miliony aplikacji iOS i macOS zostały narażone na naruszenie bezpieczeństwa, które może zostać wykorzystane do potencjalnych ataków na łańcuch dostaw, twierdzi ekspert ArsTechnica raport oparty na badaniach Bezpieczeństwo informacji EVAExploit został znaleziony w CocoaPods, repozytorium open-source używanym przez wiele popularnych aplikacji opracowanych na platformy Apple.
Wykryto lukę w zabezpieczeniach CocoaPods, która miała wpływ na aplikacje iOS i macOS
Według raportu około 3 milionów aplikacji iOS i macOS, które zostały stworzone przy użyciu CocoaPods, jest podatnych na ataki od około 10 lat. Dla tych, którzy nie są zaznajomieni, CocoaPods ułatwia deweloperom integrację kodu stron trzecich z ich aplikacjami za pośrednictwem bibliotek open source. Gdy biblioteka jest aktualizowana, aplikacje korzystające z niej automatycznie otrzymują najnowsze aktualizacje.
EVA Information Security ujawniło, że exploit może umożliwić atakującym dostęp do poufnych danych aplikacji, takich jak dane karty kredytowej, dokumentacja medyczna i materiały prywatne. Dane te mogą być wykorzystywane do wielu złośliwych celów, w tym ransomware, oszustwa, szantażu i szpiegostwa korporacyjnego.
Luki w zabezpieczeniach były związane z niezabezpieczonym mechanizmem weryfikacji poczty e-mail używanym do uwierzytelniania programistów poszczególnych podów (bibliotek). Na przykład atakujący mógłby zmanipulować adres URL w linku weryfikacyjnym, aby wskazywał na złośliwy serwer. Zespół CocoaPods podjął już kroki, aby upewnić się, że exploity zostaną naprawione.
Po tym, jak badacze EVA prywatnie powiadomili twórców CocoaPods o luce w zabezpieczeniach, usunęli oni wszystkie klucze sesji, aby mieć pewność, że nikt nie będzie mógł uzyskać dostępu do kont bez wcześniejszego przejęcia kontroli nad zarejestrowanym adresem e-mail.
Opiekunowie CocoaPods dodali również nową procedurę odzyskiwania starych osieroconych podów, która wymaga bezpośredniego kontaktu z opiekunami. Autor musiałby skontaktować się z firmą, aby przejąć jedną z tych zależności w tym momencie.
To nie pierwszy raz, kiedy CocoaPods stało się celem atakujących. W 2021 r. opiekunowie projektu potwierdzili istnienie problemu bezpieczeństwa co pozwoliło repozytoriom CocoaPods na uruchamianie dowolnego kodu na serwerach, które nim zarządzają. Może to zostać wykorzystane do zastąpienia istniejących pakietów złośliwymi wersjami z kodem, który mógłby zostać dostarczony w aplikacjach iOS i Mac.
Badacze EVA radzą deweloperom wykorzystującym CocoaPods w swoich aplikacjach, aby zawsze sprawdzali zależności CocoaPods i uruchamiali skanowanie bezpieczeństwa w celu wykrycia złośliwego kodu we wszystkich bibliotekach zewnętrznych.
Przeczytaj także
FTC: Używamy linków afiliacyjnych generujących dochód. Więcej.
