Wygląda na to, że wiele systemów iOS i macOS zostało narażonych na naruszenia bezpieczeństwa, jak wynika z badań przeprowadzonych przez EVA Information Security. Podobno zagrożenie zostało znalezione w CocoaPods, które jest repozytorium open-source.

Jak podkreślono w raporcie, od 10 lat około 3 milionów aplikacji na systemy iOS i macOS stworzonych przy użyciu CocoaPods jest podatnych na ataki.

Podobno zagrożenie dotyczy CocoaPods, których programiści używają do włączania istniejących bibliotek oprogramowania do swoich aplikacji. Obecnie CocoaPods można wykorzystać do potajemnego wprowadzania złośliwego kodu do aplikacji, które na nich polegają.

Identyfikacja oszustwa

Według badaczy EVA Information Security odkryli oni kilka luk w zabezpieczeniach menedżera zależności CocoaPods, które pozwalają każdemu złośliwemu podmiotowi rościć sobie prawo własności do tysięcy niezarejestrowanych podów. Podobno złośliwe oprogramowanie może wstawiać złośliwy kod do wielu najpopularniejszych aplikacji iOS i MacOS.

Raport EVA Information Security wyjaśnia taki atak na aplikację mobilną ekosystem może zainfekować niemal każde urządzenie Apple. To może ostatecznie narazić tysiące organizacji na katastrofalne szkody finansowe i reputacyjne. Jak więc działa to zagrożenie? Według firmy zajmującej się bezpieczeństwem, niezabezpieczony przepływ pracy weryfikacji poczty e-mail może zostać wykorzystany do uruchomienia dowolnego kodu na serwerze „Trunk” CocoaPods (zarządzającym dystrybucją i metadanymi Podspecs). Umożliwiłoby to atakującemu manipulowanie lub zastępowanie pobieranych pakietów, wyjaśnił EVA na oficjalnym blogu.

CocoaPods może również umożliwiać ataki typu zero-day na infrastrukturę najbardziej zaawansowanej i bezpiecznej organizacji. „Najpoważniejszą wadą jest CVE-2024-38366, który umożliwił hakerom przejęcie nieodebranych pakietów oprogramowania, znanych jako Pods, bez przechodzenia przez żaden „proces weryfikacji własności” — podkreśliła firma zajmująca się bezpieczeństwem. Ponadto może również zwiększać ryzyko ataków na łańcuch dostaw oprogramowania.

Przed nami środki bezpieczeństwa

Dobra wiadomość jest taka, że ​​wszystkie luki zostały załatane po tym, jak EVA Information Security zgłosiło zagrożenie dla CocoaPods. Oczekuje się, że poprawki obejmą „wyczyszczenie wszystkich kluczy sesji”, aby uniemożliwić nieautoryzowanym użytkownikom dokonywanie aktualizacji kodu.

Firma zajmująca się bezpieczeństwem zasugerowała również, aby deweloperzy i zespoły DevOps, które korzystały z CocoaPods w ostatnich latach, zweryfikowały integralność zależności open source używanych w kodzie ich aplikacji.

Według raportów znaczny procent ekosystemu aplikacji Swift i Objective-C (w tym iOS, macOS i inne oprogramowanie urządzeń Apple) jest podatny na zagrożenie CocoaPods. Firma zajmująca się bezpieczeństwem zasugerowała również, że należy zwrócić szczególną uwagę na oprogramowanie, które opiera się na pakietach CocoaPod, które nie mają przypisanego właściciela.

Obserwuj FE Tech Bytes na Świergot, Instagram, LinkedIn, Facebook