Seria nowo odkrytych luk w powszechnie używanym oprogramowaniu typu open source może oznaczać duże problemy dla dużych części ekosystemów iOS i MacOS. Błędy, o których mowa, mogą mieć wpływ na tysiące powszechnie używanych aplikacji, w tym popularne programy, takie jak TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger i wiele innych, zgodnie z powiązane badania bezpieczeństwa. Podczas gdy same komponenty open source zostały załatane, zespoły DevOps dla dotkniętych aplikacji z pewnością starają się zapewnić, że ich systemy są odpowiednio aktualizowane, aby chronić użytkowników przed potencjalnym wykorzystaniem.
Luki zostały odkryte w Kokosymenedżer zależności szeroko stosowany w projektach oprogramowania kodowanych w językach programowania Swift i Objective-C. Menedżerowie zależności są niezbędnymi narzędziami w procesie tworzenia oprogramowania, umożliwiającymi walidację i kryptograficzne podpisywanie pakietów oprogramowania. Uszkodzenie takiego narzędzia ma oczywiście duże (i złe) implikacje dla dużych części sieci.
Robaki Cocoapods odkryto przez badaczy z EVA Information Security, firmy zajmującej się cyberbezpieczeństwem i testowaniem penetracyjnym. Błędy są wynikiem niedoskonałej migracji serwera Cocoapods, która miała miejsce w 2014 r. i w wyniku której „osierociły się” tysiące pakietów oprogramowania. Ze względu na braki w zabezpieczeniach systemu pakiety te mogły zostać łatwo przejęte przez złego aktora i (hipotetycznie) wykorzystane do przeprowadzania ataków na łańcuch dostaw, które mogłyby wprowadzić złośliwe aktualizacje kodu do korporacyjnych projektów oprogramowania, które na nich polegają. Badacze rozkładają sytuację w następujący sposób:
Proces migracji w 2014 r. pozostawił tysiące osieroconych pakietów (gdzie pierwotny właściciel jest nieznany), z których wiele jest nadal szeroko używanych w innych bibliotekach. Korzystając z publicznego interfejsu API i adresu e-mail, który był dostępny w kodzie źródłowym CocoaPods, atakujący mógłby rościć sobie prawo własności do dowolnego z tych pakietów, co umożliwiłoby atakującemu zastąpienie oryginalnego kodu źródłowego własnym złośliwym kodem… Odkryte przez nas luki w zabezpieczeniach mogłyby zostać wykorzystane do kontrolowania samego menedżera zależności i dowolnego opublikowanego pakietu. Zależności niższego rzędu mogłyby oznaczać, że w ciągu ostatnich kilku lat ujawniono tysiące aplikacji i miliony urządzeń.
Wszystkie trzy błędy zostały już naprawione, ale ich powaga i fakt, że były widoczne przez aż dziewięć lat, z pewnością spędzają sen z powiek wielu zespołom programistycznym. Powodem, dla którego Apple jest na czele i w centrum tego bałaganu, jest to, że wiele aplikacji iOS i MacOS jest kodowanych przy użyciu obu Szybki I Cel C języków, co czyni je szczególnie podatnymi na omawiane problemy. Naukowcy piszą, że błędy mogą wpłynąć na „tysiące” lub „miliony” aplikacji, a „atak na ekosystem aplikacji mobilnych może zainfekować niemal każde urządzenie Apple, narażając tysiące organizacji na katastrofalne szkody finansowe i reputacyjne”.
Naukowcy twierdzą, że nie widzieli jeszcze żadnych dowodów sugerujących, że aplikacje zostały faktycznie naruszone. Jednak gdyby niektóre zostały naruszone, mogłoby to oczywiście oznaczać poważne problemy dla użytkowników. Naukowcy zauważają, że ponieważ wiele aplikacji może „uzyskać dostęp do najbardziej poufnych informacji użytkownika: danych karty kredytowej, dokumentacji medycznej, materiałów prywatnych”, cyberprzestępca mógłby wstrzyknąć kod do aplikacji za pośrednictwem naruszonych kontenerów, umożliwiając im „dostęp do tych informacji w niemal każdym możliwym złośliwym celu — ransomware, oszustwo, szantaż, szpiegostwo korporacyjne”.
Naukowcy wzywają korporacyjnych deweloperów do przejrzenia swoich produktów i „zweryfikowania integralności zależności open source używanych w kodzie ich aplikacji”, zapewniając w ten sposób, że ich systemy i ich klienci nie będą narażeni na ataki.
Ten luki w zabezpieczeniach, które mogą wystąpić w oprogramowaniu typu open source są dobrze znane. Przemysł oprogramowania komercyjnego opiera się na FOSS, aby budować swoje produkty komercyjne, ale mało czasu poświęca się na wzmacnianie i zabezpieczanie ekosystemu wolnego oprogramowania, na którym zbudowany jest cały internet. Końcowe wyniki są, jak można było przewidzieć, nie najlepsze.
Serwis Gizmodo zwrócił się do Apple z prośbą o komentarz i jeśli otrzyma odpowiedź, zaktualizuje ten artykuł.
