Több millió iOS app volt kiszolgáltatott a CocoaPods miatt
Közel egy évtizeden át hagyta sebezhetően a CocoaPods-on tárolt könyvtárakat használó appokat nem csak egy, hanem több eddig fel nem fedett sérülékenység.
A több mint hárommillió alkalmazás fejlesztéséhez használt CocoaPods dependency kezelőben egy közel évtizede felfedezetlenül megbújó sérülékenységet sikerült találni, ami csomagok ezreit tette ki potenciális visszaélések kockázatának. A biztonsági kutatók szerint tárva-nyitva állt az ajtó komolyabb ellátási láncokat érintő támadások indításához, míg nem érkezett meg a javítás tavaly októberben.
Az izraeli EVA Information Security vizsgálatai alapján a főleg Swift és Objective-C projektek tárolójaként használt CocoaPods 2014-ben az összes „Pods”-ot (a projekt dependency-jeit leíró fájlokat) – áttelepítette egy új Trunk szerverre a GitHubon. A migrációs folyamat során az összes pod szerzői joga resetelődött, így a szerzőknek kérvényezni kellett azokat. Mivel ezt többen sem tették meg, számos pod maradt árva és egyben hozzáférhető. A CVE-2024-38368 azonosítójú biztonsági rés pontszáma 9,3, tehát kritikusnak minősítették.
Az összes magára hagyott podhoz tartozott e-mail cím, és sok esetben egy 2023 végéig hozzáférhető nyilvános API is. Pod igényléséhez a rosszindulatú félnek csak egy adott CURL-kérést kellett továbbítania, utána szabad kezet kaphatott volna elméletben a Pod módosításához és rosszindulatú kód beszúrásához. Az EVA kutatói szerint bár a módszer elméletben így működhetett volna, eddig nem találtak bizonyítékot arra vonatkozóan, hogy tényleges visszaélés is történt volna.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Azonban tekintettel a világon használatban lévő több milliárd iOS-t futtató eszközre, és arra, hogy valamennyi nagy techcég, köztük a Microsoft, az Apple és az Amazon is rendelkezik sebezhető podokat használó alkalmazásokkal, a kockázatnak kitett eszközök és appok száma meglehetősen nagy volt.
Sok alkalmazás hozzáférhet a felhasználók legérzékenyebb adataihoz is, köztük hitelkártyaadatokhoz, orvosi dokumentumokhoz, személyes anyagokhoz, így a kártékony kódok fecskendezésével a támadók további előnyt szerezhettek maguknak a támadások széles skálájához, legyen szó ransomware-támadásról, zsarolásról, vagy üzleti kémkedésről.
Mindezen felül egy nem biztonságos e-mail-ellenőrzési folyamat és egy sebezhető Ruby-csomag lehetővé tehette a támadók számára azt is, hogy tetszőleges kódot futtathassanakvégre a Trunk szerveren, és manipulálják, vagy lecseréljék a csomagokat. Egy másik felfedett sérülékenység (CVE-2024-38366) már CVSS 10.0-ás értékelést kapott, mivel távoli kódfuttatást tesz lehetővé a Trunk szerveren, egy harmadik sérülékenység (CVE-2024-38367) pedig magát a Trunk szerver forráskódját érinti, ezeket szintén sikerült befoltozni tavaly októberben.