Миллионы приложений iOS и macOS подверглись уязвимости безопасности, которая может быть использована для потенциальных атак на цепочку поставок, сообщает ArsTechnica Отчет основан на исследовании EVA Information Security. Эксплойт был обнаружен в CocoaPods, репозитории с открытым исходным кодом, используемом многими популярными приложениями, разработанными для платформ Apple.
Эксплойт, обнаруженный в уязвимых приложениях CocoaPods для iOS и macOS
Согласно отчету, около 3 миллионов приложений iOS и macOS, созданных с помощью CocoaPods, были уязвимы в течение примерно 10 лет. Для тех, кто не знаком, CocoaPods упрощает разработчикам интеграцию стороннего кода в свои приложения через библиотеки с открытым исходным кодом. Когда библиотека обновляется, приложения, использующие ее, автоматически получают последние обновления.
EVA Information Security выявила, что эксплойт может привести к тому, что злоумышленники получат доступ к конфиденциальным данным приложения, таким как данные кредитных карт, медицинские записи и личные материалы. Данные могут быть использованы для ряда вредоносных целей, включая программы-вымогатели, мошенничество, шантаж и корпоративный шпионаж.
Уязвимости были связаны с небезопасным механизмом проверки электронной почты, используемым для аутентификации разработчиков отдельных модулей (библиотек). Например, злоумышленник мог манипулировать URL в ссылке проверки, чтобы указать на вредоносный сервер. Команда CocoaPods уже предприняла шаги для обеспечения исправления эксплойтов.
После того как исследователи EVA в частном порядке уведомили разработчиков CocoaPods об уязвимости, они стерли все сеансовые ключи, чтобы гарантировать, что никто не сможет получить доступ к учетным записям, не получив предварительно контроль над зарегистрированным адресом электронной почты.
Сопровождающие CocoaPods также добавили новую процедуру восстановления старых pod-ов-сирот, которая требует прямого обращения к сопровождающим. Автору необходимо будет связаться с компанией, чтобы взять на себя одну из этих зависимостей на этом этапе.
Это не первый случай, когда CocoaPods подвергается атакам злоумышленников. В 2021 году разработчики проекта подтвердили наличие уязвимости безопасности, которая позволяла репозиториям CocoaPods запускать произвольный код на серверах, которые им управляют. Это можно было использовать для замены существующих пакетов вредоносными версиями с кодом, который мог бы в конечном итоге попасть в приложения iOS и Mac.
Исследователи EVA рекомендуют разработчикам, использующим CocoaPods в своих приложениях, всегда проверять зависимости CocoaPods и выполнять сканирование безопасности для обнаружения вредоносного кода во всех внешних библиотеках.
