- Uma falha de segurança foi descoberta no gerenciador de dependências CocoaPods que pode ser explorada em ataques à cadeia de suprimentos contra aplicativos da Apple.
- O pacote CocoaPods foi publicado há anos, mas o bug foi corrigido em outubro de 2023.
Revelações recentes sobre falhas críticas no CocoaPods, um popular gerenciador de dependências para Objective-C e Swift, destacam riscos significativos para aplicativos em dispositivos macOS e iOS. Esta vulnerabilidade pode expor milhões de aplicações a ataques à cadeia de abastecimento, afetando potencialmente vários utilizadores da Apple.
Esse problema ocorreu quando CocoaPods foram migrados para um servidor tronco, deixando milhares de pacotes não reclamados. O invasor usou APIs públicas para solicitar pods e endereços de e-mail no código-fonte do CocoaPods. Esse risco é significativo porque CocoaPods é amplamente usado no desenvolvimento de macOS e iOS para gerenciar bibliotecas de terceiros. É uma ferramenta popular que economiza tempo porque automatiza a integração e a resolução. No entanto, estes pacotes não reclamados permaneceram abandonados durante quase 10 anos.
Os servidores tronco são uma parte importante da infraestrutura CocoaPods. Gerencie a distribuição e hospedagem de arquivos da biblioteca CocoaPods. Isso é essencial para controle de versão de biblioteca, autenticação de usuário e processos de publicação. No entanto, problemas de segurança associados comprometem a integridade da biblioteca e permitem que invasores injetem códigos nocivos em pacotes de dados comuns.
veja a seguir: LockBit afirma ter roubado 33 TB de informações bancárias do Federal Reserve dos EUA, as alegações revelaram-se falsas
As vulnerabilidades críticas descobertas incluem CVE-2024-38366 (CVSS 10.0), CVE-2024-38368 (CVSS 9.3) e CVE-2024-38367 (CVSS 8.2). O primeiro bug afeta o fluxo de trabalho de validação de e-mail e permite a execução de código arbitrário no servidor tronco. Como resultado, os pacotes legítimos podem ser modificados ou substituídos, representando riscos significativos para os utilizadores.
A segunda falha explora o recurso Claim Your Pods e permite que um invasor assuma o controle de pacotes não reivindicados. Isso permite a manipulação do código-fonte e introduz alterações não autorizadas em aplicativos populares.
A falha final também envolve a validação de e-mail, permitindo que um link potencialmente benigno redirecione um invasor para um domínio malicioso, levando ao risco de controle de conta e roubo de token.
Vulnerabilidades como essa ameaçam todo o ecossistema iOS e macOS, já que muitos aplicativos populares dependem do CocoaPods. Um invasor que explorar com sucesso essas vulnerabilidades poderá injetar código malicioso em aplicativos legítimos, distribuir malware por meio de canais confiáveis e comprometer os dados do usuário.
CocoaPods corrigiu cada uma dessas vulnerabilidades, mas detalhes sobre como essas falhas foram exploradas ainda não foram divulgados. Os desenvolvedores estão sendo incentivados a revisar suas práticas de segurança e atualizar as dependências para reduzir riscos futuros.
Esta não é a primeira vez que CocoaPods está sob intenso escrutínio. No início de 2023, pesquisadores de segurança descobriram uma falha que permitia que invasores sequestrassem subdomínios. Descobertas recentes destacam a importância do gerenciamento de dependências e da segurança no desenvolvimento de software, destacando a necessidade de uma abordagem proativa para possíveis vulnerabilidades que podem impactar os dados e aplicativos dos usuários.
