Milhões de aplicativos iOS e macOS estão expostos a violações de segurança que poderiam ser usadas em possíveis ataques à cadeia de suprimentos, disse uma pessoa. Ars Técnica Relatório baseado em pesquisa da EVA Information Security. A exploração foi descoberta no CocoaPods, um repositório de código aberto usado por muitos aplicativos populares desenvolvidos para a plataforma Apple.
A exploração encontrada no CocoaPods afeta aplicativos iOS e macOS
De acordo com o relatório, aproximadamente 3 milhões de aplicativos iOS e macOS desenvolvidos com CocoaPods permaneceram vulneráveis por quase uma década. Para quem não conhece, o CocoaPods permite que os desenvolvedores integrem facilmente códigos de terceiros em seus aplicativos por meio de bibliotecas de código aberto. Quando uma biblioteca é atualizada, os aplicativos que a utilizam recebem automaticamente as atualizações mais recentes.
A EVA Information Security revelou que a exploração poderia permitir que um invasor acessasse dados confidenciais no aplicativo, como detalhes de cartão de crédito, registros médicos e informações pessoais. Os dados podem ser usados para diversos fins maliciosos, incluindo ransomware, fraude, extorsão e espionagem corporativa.
A vulnerabilidade estava relacionada a um mecanismo inseguro de verificação de e-mail usado para autenticar desenvolvedores de pods (bibliotecas) individuais. Por exemplo, um invasor pode manipular o URL no link de verificação para apontar para um servidor malicioso. A equipe CocoaPods já tomou medidas para garantir que a exploração seja corrigida.
Depois que os pesquisadores do EVA notificaram privadamente os desenvolvedores do CocoaPods sobre essa vulnerabilidade, eles limparam todas as chaves de sessão e garantiram que ninguém pudesse acessar a conta sem controlar o endereço de e-mail registrado.
Os mantenedores do CocoaPods também adicionaram novas instruções para recuperar pods órfãos antigos que exigem que você entre em contato diretamente com o mantenedor. Neste momento, o autor deverá entrar em contato com a empresa para assumir uma dessas dependências.
Esta não é a primeira vez que CocoaPods são alvo de invasores. Em 2021, os mantenedores do projeto identificaram um problema de segurança que permitiu ao repositório CocoaPods executar código arbitrário nos servidores que o gerenciam. Isso pode ser usado para substituir pacotes existentes por versões maliciosas que contêm código que pode ser incorporado em aplicativos iOS e Mac.
Os pesquisadores da EVA aconselham os desenvolvedores que usam CocoaPods em seus aplicativos a sempre revisar as dependências do CocoaPods e executar verificações de segurança para detectar códigos maliciosos em todas as bibliotecas externas.
Por favor leia também
FTC: Usamos links afiliados automatizados que geram renda. mais.
