Milioane de aplicații iOS și macOS ar fi putut fi expuse la risc timp de peste un deceniu din cauza unei vulnerabilități nedetectate, recent remediate în CocoaPods, un manager de dependențe care găzduiește biblioteci de cod pentru proiectele Swift și Objective-C destinate dezvoltării aplicațiilor pentru Apple.
Conform unui raport, cercetătorii în domeniul securității au descoperit o problemă critică ce le-ar fi permis atacatorilor să injecteze cod malițios și să obțină acces la date sensibile ale utilizatorilor, punând în pericol peste 3 milioane de aplicații iOS și macOS.
Potrivit cercetătorilor de la firma de securitate cibernetică EVA Information Security, au fost identificate trei vulnerabilități nedescoperite anterior în CocoaPods, care le-ar fi permis atacatorilor să revendice proprietatea asupra pachetelor abandonate, cunoscute sub numele de pods. Se pare că aceștia ar fi putut injecta cod în aplicațiile pentru platformele iOS și macOS.
Această vulnerabilitate se presupune că își are originea în 2014, în serverul „trunk” al CocoaPods, în urma unui proces de migrare. Conform cercetătorilor, atacatorii ar fi putut folosi un API și o adresă de email, ambele disponibile în codul sursă al CocoaPods, pentru a revendica proprietatea asupra pods, înlocuindu-le codul original cu cel malițios.
Cercetătorii susțin că o altă vulnerabilitate ar fi permis utilizarea procesului de verificare a emailului pentru a rula cod arbitrar pe server, permițându-i atacatorului să manipuleze și să înlocuiască pods.
Exploiturile au pus în pericol milioane de aplicații iOS și macOS, la un loc cu datele sensibile ale utilizatorilor precum parole, detalii ale cardurilor, dosare medicale și altele.
„Injectarea codului în aceste aplicații le-ar putea permite atacatorilor să acceseze aceste informații pentru aproape orice scop malițios imaginabil: ransomware, fraudă, șantaj, spionaj corporativ. În acest proces, ar putea expune companiile la răspunderi legale majore și riscuri de reputație”, au declarat cercetătorii.
Se afirmă, de asemenea, că vulnerabilitățile au fost remediate în octombrie 2023, potrivit Gadgets360. Cercetătorii spun că au notificat CocoaPods cu privire la problemă, după care toate cheile de sesiune au fost șterse pentru a asigura accesul securizat la pods.
Aceasta nu este prima dată când CocoaPods este supus unei analize atente din cauza vulnerabilităților de securitate. În 2021, s-a descoperit că un pachet malițios publicat pe managerul de dependențe le-ar fi permis atacatorilor să ruleze cod arbitrar pe serverele sale din cauza unei probleme de execuție a codului de la distanță (RCE), punând potențial în pericol milioane de aplicații.