Több millió iOS app volt kiszolgáltatott a CocoaPods miatt
Közel egy évtizeden át hagyta sebezhetően a CocoaPods-on tárolt könyvtárakat használó appokat nem csak egy, hanem több eddig fel nem fedett sérülékenység.
A több mint hárommillió alkalmazás fejlesztéséhez használt CocoaPods dependency kezelőben egy közel évtizede felfedezetlenül megbújó sérülékenységet sikerült találni, ami csomagok ezreit tette ki potenciális visszaélések kockázatának. A biztonsági kutatók szerint tárva-nyitva állt az ajtó komolyabb ellátási láncokat érintő támadások indításához, míg nem érkezett meg a javítás tavaly októberben.
Az izraeli EVA Information Security vizsgálatai alapján a főleg Swift és Objective-C projektek tárolójaként használt CocoaPods 2014-ben az összes „Pods”-ot (a projekt dependency-jeit leíró fájlokat) – áttelepítette egy új Trunk szerverre a GitHubon. A migrációs folyamat során az összes pod szerzői joga resetelődött, így a szerzőknek kérvényezni kellett azokat. Mivel ezt többen sem tették meg, számos pod maradt árva és egyben hozzáférhető. A CVE-2024-38368 azonosítójú biztonsági rés pontszáma 9,3, tehát kritikusnak minősítették.
Az összes magára hagyott podhoz tartozott e-mail cím, és sok esetben egy 2023 végéig hozzáférhető nyilvános API is. Pod igényléséhez a rosszindulatú félnek csak egy adott CURL-kérést kellett továbbítania, utána szabad kezet kaphatott volna elméletben a Pod módosításához és rosszindulatú kód beszúrásához. Az EVA kutatói szerint bár a módszer elméletben így működhetett volna, eddig nem találtak bizonyítékot arra vonatkozóan, hogy tényleges visszaélés is történt volna.
Platón ragadt informatikusok klubja Egyetlen más szakma sincs, ahol olyan gyorsan el lehet érni a karrier-platóra, mint az IT. A midlife, a mid-level mellett létezik mid-career krízis is.
Azonban tekintettel a világon használatban lévő több milliárd iOS-t futtató eszközre, és arra, hogy valamennyi nagy techcég, köztük a Microsoft, az Apple és az Amazon is rendelkezik sebezhető podokat használó alkalmazásokkal, a kockázatnak kitett eszközök és appok száma meglehetősen nagy volt.
Sok alkalmazás hozzáférhet a felhasználók legérzékenyebb adataihoz is, köztük hitelkártyaadatokhoz, orvosi dokumentumokhoz, személyes anyagokhoz, így a kártékony kódok fecskendezésével a támadók további előnyt szerezhettek maguknak a támadások széles skálájához, legyen szó ransomware-támadásról, zsarolásról, vagy üzleti kémkedésről.
Mindezen felül egy nem biztonságos e-mail-ellenőrzési folyamat és egy sebezhető Ruby-csomag lehetővé tehette a támadók számára azt is, hogy tetszőleges kódot futtathassanakvégre a Trunk szerveren, és manipulálják, vagy lecseréljék a csomagokat. Egy másik felfedett sérülékenység (CVE-2024-38366) már CVSS 10.0-ás értékelést kapott, mivel távoli kódfuttatást tesz lehetővé a Trunk szerveren, egy harmadik sérülékenység (CVE-2024-38367) pedig magát a Trunk szerver forráskódját érinti, ezeket szintén sikerült befoltozni tavaly októberben.