:

Szerző: Dömös Zsuzsanna

2024. július 2. 13:16

Több millió iOS app volt kiszolgáltatott a CocoaPods miatt

Közel egy évtizeden át hagyta sebezhetően a CocoaPods-on tárolt könyvtárakat használó appokat nem csak egy, hanem több eddig fel nem fedett sérülékenység.

A több mint hárommillió alkalmazás fejlesztéséhez használt CocoaPods dependency kezelőben egy közel évtizede felfedezetlenül megbújó sérülékenységet sikerült találni, ami csomagok ezreit tette ki potenciális visszaélések kockázatának. A biztonsági kutatók szerint tárva-nyitva állt az ajtó komolyabb ellátási láncokat érintő támadások indításához, míg nem érkezett meg a javítás tavaly októberben.

Az izraeli EVA Information Security vizsgálatai alapján a főleg Swift és Objective-C projektek tárolójaként használt CocoaPods 2014-ben az összes „Pods”-ot (a projekt dependency-jeit leíró fájlokat) – áttelepítette egy új Trunk szerverre a GitHubon. A migrációs folyamat során az összes pod szerzői joga resetelődött, így a szerzőknek kérvényezni kellett azokat. Mivel ezt többen sem tették meg, számos pod maradt árva és egyben hozzáférhető. A CVE-2024-38368 azonosítójú biztonsági rés pontszáma 9,3, tehát kritikusnak minősítették.

Az összes magára hagyott podhoz tartozott e-mail cím, és sok esetben egy 2023 végéig hozzáférhető nyilvános API is. Pod igényléséhez a rosszindulatú félnek csak egy adott CURL-kérést kellett továbbítania, utána szabad kezet kaphatott volna elméletben a Pod módosításához és rosszindulatú kód beszúrásához. Az EVA kutatói szerint bár a módszer elméletben így működhetett volna, eddig nem találtak bizonyítékot arra vonatkozóan, hogy tényleges visszaélés is történt volna.

cocoa

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Azonban tekintettel a világon használatban lévő több milliárd iOS-t futtató eszközre, és arra, hogy valamennyi nagy techcég, köztük a Microsoft, az Apple és az Amazon is rendelkezik sebezhető podokat használó alkalmazásokkal, a kockázatnak kitett eszközök és appok száma meglehetősen nagy volt.

Sok alkalmazás hozzáférhet a felhasználók legérzékenyebb adataihoz is, köztük hitelkártyaadatokhoz, orvosi dokumentumokhoz, személyes anyagokhoz, így a kártékony kódok fecskendezésével a támadók további előnyt szerezhettek maguknak a támadások széles skálájához, legyen szó ransomware-támadásról, zsarolásról, vagy üzleti kémkedésről.

Mindezen felül egy nem biztonságos e-mail-ellenőrzési folyamat és egy sebezhető Ruby-csomag lehetővé tehette a támadók számára azt is, hogy tetszőleges kódot futtathassanakvégre a Trunk szerveren, és manipulálják, vagy lecseréljék a csomagokat. Egy másik felfedett sérülékenység (CVE-2024-38366) már CVSS 10.0-ás értékelést kapott, mivel távoli kódfuttatást tesz lehetővé a Trunk szerveren, egy harmadik sérülékenység (CVE-2024-38367) pedig magát a Trunk szerver forráskódját érinti, ezeket szintén sikerült befoltozni tavaly októberben.

a címlapról