Εφαρμογές iPhone και Mac εκτεθειμένες σε ελαττώματα για 10 χρόνια

Το CocoaPods διευκολύνει τους προγραμματιστές να ενσωματώσουν κώδικα τρίτων στις εφαρμογές τους χρησιμοποιώντας βιβλιοθήκες ανοιχτού κώδικα. Όταν μια βιβλιοθήκη ενημερώνεται, οι εφαρμογές που τη χρησιμοποιούν λαμβάνουν αυτόματα τις πιο πρόσφατες ενημερώσεις.

Όπως εξηγεί η EVA Information Security , τα ελαττώματα μπορεί να οδηγήσουν τους χάκερ στην πρόσβαση σε ευαίσθητα δεδομένα της εφαρμογής, όπως στοιχεία πιστωτικής κάρτας, ιατρικά αρχεία και ιδιωτικά έγγραφα. Αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν για κακόβουλους σκοπούς, όπως ransomware, απάτη, εταιρική κατασκοπεία και άλλα.

Τα τρωτά σημεία σχετίζονται με έναν μη ασφαλή μηχανισμό επαλήθευσης email που χρησιμοποιείται για τον έλεγχο ταυτότητας μεμονωμένων προγραμματιστών pod (βιβλιοθήκης). Για παράδειγμα, ένας χάκερ μπορεί να χειριστεί τη διεύθυνση URL σε έναν σύνδεσμο επαλήθευσης για να υποδείξει έναν κακόβουλο διακομιστή. Η ομάδα της CocoaPods έχει ήδη λάβει μέτρα για να διασφαλίσει ότι τα ελαττώματα θα διορθωθούν.

Μόλις ειδοποιήθηκαν από την EVA Information Security, οι προγραμματιστές του CocoaPods διέγραψαν όλα τα κλειδιά συνεδρίας για να διασφαλίσουν ότι κανείς δεν θα μπορούσε να έχει πρόσβαση στους λογαριασμούς χωρίς πρώτα να έχει τον έλεγχο της καταχωρημένης διεύθυνσης ηλεκτρονικού ταχυδρομείου. Πρόσθεσαν επίσης μια νέα διαδικασία για την ανάκτηση παλαιών ορφανών λοβών, η οποία απαιτεί απευθείας επαφή με τους συντηρητές.

Δεν είναι η πρώτη φορά που χάκερ στοχεύουν τα CocoaPods. Το 2021, οι συντηρητές έργων επιβεβαίωσαν ένα ζήτημα ασφαλείας που επέτρεπε στα αποθετήρια CocoaPods να εκτελούν αυθαίρετο κώδικα στους διακομιστές που τα διαχειρίζονται. Αυτός ο κώδικας θα μπορούσε να χρησιμοποιηθεί για την αντικατάσταση υπαρχόντων πακέτων με κακόβουλες εκδόσεις που περιέχουν κώδικα που θα μπορούσε να ενσωματωθεί σε εφαρμογές iOS και Mac.