Milioni di app per iOS e macOS sono state esposte a una falla di sicurezza che potrebbe essere stata sfruttata per attacchi alla catena di fornitura, secondo un report di ArsTechnica basato sulla ricerca di EVA Information Security. Il problema è stato individuato in CocoaPods, un repository open-source utilizzato da molte app famose sviluppate per le piattaforme Apple.
Stando al report, circa 3 milioni di app iOS e macOS create con CocoaPods sono state vulnerabili per circa 10 anni. Per chi non lo sapesse, CocoaPods semplifica l’integrazione di codice di terze parti nelle app attraverso librerie open-source. Quando una libreria viene aggiornata, le app che la utilizzano ricevono automaticamente gli aggiornamenti più recenti.
EVA Information Security ha rivelato che la vulnerabilità poteva consentire agli aggressori di accedere a dati sensibili dell’app, come informazioni relative alle carte di credito, cartelle cliniche e materiale privato. Questi dati potrebbero essere utilizzati per vari scopi malevoli, tra cui ransomware, frodi, ricatti e spionaggio aziendale.
Le vulnerabilità erano collegate a un meccanismo di verifica email non sicuro utilizzato per autenticare gli sviluppatori dei singoli pod (librerie). Ad esempio, un aggressore poteva manipolare l’URL in un link di verifica per indirizzarlo a un server malevolo. Il team di CocoaPods ha già provveduto a chiudere le falle di sicurezza.
Dopo che i ricercatori di EVA hanno informato privatamente gli sviluppatori di CocoaPods della vulnerabilità, sono state eliminate tutte le chiavi di sessione per garantire che nessuno potesse accedere agli account senza avere prima il controllo dell’indirizzo email registrato.
Inoltre, i responsabili della manutenzione di CocoaPods hanno introdotto una nuova procedura per recuperare i vecchi pod “orfani” che richiede di contattare direttamente i manutentori. A questo punto, per riprendere il controllo di una di queste dipendenze, gli sviluppatori originali dovranno contattare l’azienda.
Non è la prima volta che CocoaPods viene preso di mira dagli aggressori. Nel 2021, i responsabili del progetto hanno confermato un problema di sicurezza che consentiva ai repository di CocoaPods di eseguire codice arbitrario sui server di gestione. Questo avrebbe potuto essere sfruttato per sostituire pacchetti esistenti con versioni dannose contenenti codice malevolo che poteva finire nelle app iOS e Mac.
I ricercatori di EVA consigliano agli sviluppatori che utilizzano CocoaPods nelle loro app di rivedere sempre le dipendenze di CocoaPods ed eseguire scansioni di sicurezza per rilevare codice dannoso in tutte le librerie esterne.
Leggi o Aggiungi Commenti