Prawie każde urządzenie Apple podatne na hakowanie z powodu tej luki w CocoaPods – Wiadomości technologiczne
Wygląda na to, że wiele systemów iOS i macOS zostało narażonych na naruszenia bezpieczeństwa, jak wynika z badań przeprowadzonych przez EVA Information Security. Podobno zagrożenie zostało znalezione w CocoaPods, które jest repozytorium open-source.
Jak podkreślono w raporcie, od 10 lat około 3 milionów aplikacji na systemy iOS i macOS stworzonych przy użyciu CocoaPods jest podatnych na ataki.
Podobno zagrożenie dotyczy CocoaPods, których programiści używają do włączania istniejących bibliotek oprogramowania do swoich aplikacji. Obecnie CocoaPods można wykorzystać do potajemnego wprowadzania złośliwego kodu do aplikacji, które na nich polegają.
Identyfikacja oszustwa
Według badaczy EVA Information Security odkryli oni kilka luk w zabezpieczeniach menedżera zależności CocoaPods, które pozwalają każdemu złośliwemu podmiotowi rościć sobie prawo własności do tysięcy niezarejestrowanych podów. Podobno złośliwe oprogramowanie może wstawiać złośliwy kod do wielu najpopularniejszych aplikacji iOS i MacOS.
Raport EVA Information Security wyjaśnia taki atak na aplikację mobilną
CocoaPods może również umożliwiać ataki typu zero-day na infrastrukturę najbardziej zaawansowanej i bezpiecznej organizacji. „Najpoważniejszą wadą jest CVE-2024-38366, który umożliwił hakerom przejęcie nieodebranych pakietów oprogramowania, znanych jako Pods, bez przechodzenia przez żaden „proces weryfikacji własności” — podkreśliła firma zajmująca się bezpieczeństwem. Ponadto może również zwiększać ryzyko ataków na łańcuch dostaw oprogramowania.
Przed nami środki bezpieczeństwa
Dobra wiadomość jest taka, że wszystkie luki zostały załatane po tym, jak EVA Information Security zgłosiło zagrożenie dla CocoaPods. Oczekuje się, że poprawki obejmą „wyczyszczenie wszystkich kluczy sesji”, aby uniemożliwić nieautoryzowanym użytkownikom dokonywanie aktualizacji kodu.
Firma zajmująca się bezpieczeństwem zasugerowała również, aby deweloperzy i zespoły DevOps, które korzystały z CocoaPods w ostatnich latach, zweryfikowały integralność zależności open source używanych w kodzie ich aplikacji.
Według raportów znaczny procent ekosystemu aplikacji Swift i Objective-C (w tym iOS, macOS i inne oprogramowanie urządzeń Apple) jest podatny na zagrożenie CocoaPods. Firma zajmująca się bezpieczeństwem zasugerowała również, że należy zwrócić szczególną uwagę na oprogramowanie, które opiera się na pakietach CocoaPod, które nie mają przypisanego właściciela.
Obserwuj FE Tech Bytes na Świergot, Instagram, LinkedIn, Facebook