Мільйони застосунків для iOS та macOS зазнали зламу безпеки, який може бути використаний для потенційних атак на ланцюги поставок. Про це йдеться в матеріалі ArsTechnica, заснованому на дослідженні EVA Information Security.
Експлойт було виявлено в CocoaPods — сховищі з відкритим кодом, яке використовується багатьма популярними програмами, розробленими для платформ Apple.
Експлойт, виявлений у CocoaPods, вплинув на програми iOS та macOS
Згідно зі звітом, орієнтовно 3 мільйони застосунків для iOS та macOS, створених за допомогою CocoaPods, були вразливими протягом приблизно 10 років.
Нагадаємо, що CocoaPods дозволяє розробникам легко інтегрувати код сторонніх розробників у свої програми через бібліотеки з відкритим кодом. Коли бібліотека оновлюється, програми, які її використовують, автоматично отримують останні оновлення.
Фахівці EVA Information Security виявили, що експлойт може призвести до доступу зловмисників до конфіденційних даних програми, таких як дані кредитної картки, медичні записи та приватні матеріали.
Вразливості були пов’язані із незахищеним механізмом перевірки електронної пошти, який використовувався для автентифікації розробників окремих модулів (бібліотек). Наприклад, зловмисник може маніпулювати URL-адресою у посиланні перевірки, щоб вказати на шкідливий сервер.
Команда CocoaPods вже вжила заходів для усунення експлойтів.
Після того, як дослідники EVA приватно повідомили розробників CocoaPods про вразливість, ті стерли всі сеансові ключі, щоб гарантувати, що ніхто не зможе отримати доступ до облікових записів без контролю над зареєстрованою електронною адресою.Керівники супроводу CocoaPods також додали нову процедуру відновлення старих контейнерів-сиріт, яка вимагає безпосереднього зв’язку із супроводжувачами. На цьому етапі автору потрібно зв’язатися з компанією, щоб взяти на себе одну з цих залежностей.
Це не перший випадок, коли CocoaPods стає мішенню зловмисників. У 2021 році супроводжувачі проєкту підтвердили проблему безпеки, яка дозволяла репозиторіям CocoaPods запускати довільний код на серверах, які ним керують. Це використовували для заміни пакетів шкідливими версіями з кодом, який може надсилатися у програми для iOS та Mac.
Дослідники EVA радять розробникам, які використовують CocoaPods у своїх програмах, завжди переглядати залежності CocoaPods і запускати сканування безпеки, щоб виявити шкідливий код у всіх зовнішніх бібліотеках.
Читайте також на ProIT: Безпека як код (SaC): як подолати кіберзагрози на ранніх стадіях. Стрімке зростання кількості кіберзагроз та винахідливість тих, хто за ними стоїть, спонукають впроваджувати все нові заходи безпеки.
Один із них — «безпека як код» (SaC, Security as Code). Він дозволяє враховувати безпековий фактор від початку розробки програмного забезпечення, а не додавати його наприкінці, як це відбувається зазвичай.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!