:

Szerző: Dömös Zsuzsanna

2024. július 2. 13:16

Több millió iOS app volt kiszolgáltatott a CocoaPods miatt

Közel egy évtizeden át hagyta sebezhetően a CocoaPods-on tárolt könyvtárakat használó appokat nem csak egy, hanem több eddig fel nem fedett sérülékenység.

A több mint hárommillió alkalmazás fejlesztéséhez használt CocoaPods dependency kezelőben egy közel évtizede felfedezetlenül megbújó sérülékenységet sikerült találni, ami csomagok ezreit tette ki potenciális visszaélések kockázatának. A biztonsági kutatók szerint tárva-nyitva állt az ajtó komolyabb ellátási láncokat érintő támadások indításához, míg nem érkezett meg a javítás tavaly októberben.

Az izraeli EVA Information Security vizsgálatai alapján a főleg Swift és Objective-C projektek tárolójaként használt CocoaPods 2014-ben az összes „Pods”-ot (a projekt dependency-jeit leíró fájlokat) – áttelepítette egy új Trunk szerverre a GitHubon. A migrációs folyamat során az összes pod szerzői joga resetelődött, így a szerzőknek kérvényezni kellett azokat. Mivel ezt többen sem tették meg, számos pod maradt árva és egyben hozzáférhető. A CVE-2024-38368 azonosítójú biztonsági rés pontszáma 9,3, tehát kritikusnak minősítették.

Az összes magára hagyott podhoz tartozott e-mail cím, és sok esetben egy 2023 végéig hozzáférhető nyilvános API is. Pod igényléséhez a rosszindulatú félnek csak egy adott CURL-kérést kellett továbbítania, utána szabad kezet kaphatott volna elméletben a Pod módosításához és rosszindulatú kód beszúrásához. Az EVA kutatói szerint bár a módszer elméletben így működhetett volna, eddig nem találtak bizonyítékot arra vonatkozóan, hogy tényleges visszaélés is történt volna.

cocoa

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Azonban tekintettel a világon használatban lévő több milliárd iOS-t futtató eszközre, és arra, hogy valamennyi nagy techcég, köztük a Microsoft, az Apple és az Amazon is rendelkezik sebezhető podokat használó alkalmazásokkal, a kockázatnak kitett eszközök és appok száma meglehetősen nagy volt.

Sok alkalmazás hozzáférhet a felhasználók legérzékenyebb adataihoz is, köztük hitelkártyaadatokhoz, orvosi dokumentumokhoz, személyes anyagokhoz, így a kártékony kódok fecskendezésével a támadók további előnyt szerezhettek maguknak a támadások széles skálájához, legyen szó ransomware-támadásról, zsarolásról, vagy üzleti kémkedésről.

Mindezen felül egy nem biztonságos e-mail-ellenőrzési folyamat és egy sebezhető Ruby-csomag lehetővé tehette a támadók számára azt is, hogy tetszőleges kódot futtathassanakvégre a Trunk szerveren, és manipulálják, vagy lecseréljék a csomagokat. Egy másik felfedett sérülékenység (CVE-2024-38366) már CVSS 10.0-ás értékelést kapott, mivel távoli kódfuttatást tesz lehetővé a Trunk szerveren, egy harmadik sérülékenység (CVE-2024-38367) pedig magát a Trunk szerver forráskódját érinti, ezeket szintén sikerült befoltozni tavaly októberben.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

2

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.