Open-source úložiště Swift a Objective-C, CocoaPods, mělo několik zranitelností, které nechaly miliony aplikací pro iOS a macOS vystaveny potenciálním útokům po dobu deseti let, ale nyní je opraveno.
Přestože úložiště CocoaPods bylo potenciálním cílem tak dlouho a tolik aplikací, v aplikacích pro iOS nebo macOS nejsou známy žádné zneužití. Dotyčné zranitelnosti byly opraveny v říjnu a nyní jsou odhaleny ve zprávě EVA Information Security.
Zprávu podrobně popsal Ars Technica, vysvětlující, co se pokazilo a jak lze zranitelnosti zneužít. Tyto problémy mohly vést k vážným problémům, pokud by je dokázal zneužít špatný herec, a vždy existuje šance, že byli zneužiti, aniž by o tom kdokoli věděl.
Zranitelnost CocoaPods
S CocoaPods, úložištěm pro balíčky Swift a Objective-C, byly tři klíčové problémy. Všechny se týkají toho, jak se vývojáři přihlásili ke správě svých takzvaných podů, což jsou balíčky kódu, které vývojáři mohli zahrnout do svých aplikací, které byly aktualizovány na dálku.
Když se správce podu přihlásil, musel zadat e-mailovou adresu spojenou s pod. Byl odeslán e-mail s ověřovacím odkazem, který je přesměroval přímo na stránku jejich účtu, již ověřeného.
Manipulace s tímto odkazem by mohla umožnit špatnému herci nasměrovat jej na server, který ovládají (CVE-2024-38367), napadnout a ovládat opuštěné moduly (CVE-2024-38368) nebo spustit kód na kmenovém serveru (CVE-2024-38366 ). Výsledky by vedly k tomu, že by špatný herec mohl ovlivnit modul, který lze použít v kterékoli z milionů aplikací pro iOS a macOS, které využívají CocoaPods.
Teoreticky by to fungovalo tak, že špatný herec by mohl manipulovat s podem, což by způsobilo, že se automaticky aktualizuje v každé aplikaci, ve které se používá, a tím provedl jakékoli nové instrukce, které dostal. Pokud by modul měl přístup k citlivým uživatelským informacím, jako jsou hesla nebo údaje o kreditních kartách, tyto informace by nyní byly v rukou špatného herce.
„Možnost spouštět libovolné příkazy shellu na serveru poskytla možnému útočníkovi možnost číst naše proměnné prostředí, které by mohly být použity k zápisu do úložiště CocoaPods/Specs a čtení databáze kmene,“ vysvětlil správce CocoaPods Orta Therox. „Schopnost přimět lidi, aby klikli na odkaz, který by je přesměroval na web třetí strany, by mohla být použita ke krádeži jejich klíčů relace. Nemohu zaručit, že se nic z toho nestalo, a raději bych byl na bezpečné straně.“ .“
Vývojáři používající CocoaPods před říjnem mají několik věcí, které mohou udělat, aby byli v bezpečí před útokem.
- Udržujte svůj soubor podfile.lock synchronizovaný se všemi vývojáři CocoaPods, abyste zajistili, že všichni budou mít stejnou verzi balíčků. Tím zajistíte, že když je potvrzena nová, potenciálně škodlivá aktualizace, vývojáři ji automaticky neaktualizují.
- Pokud používáte Pod, který je vyvinut interně a je hostován pouze v CocoaPods pro hromadnou distribuci, vývojáři by měli provést ověření CRC (kontrolní součet) oproti tomu, který byl stažen z kmenového serveru CocoaPods, aby se ujistil, že je stejný jako ten, který byl vyvinut interně (pokud je to možné). .
- Proveďte důkladnou kontrolu zabezpečení jakéhokoli kódu třetích stran používaného ve vašich aplikacích.
- Zkontrolujte závislosti CocoaPods a ověřte, že nepoužíváte osiřelý Pod.
- Ujistěte se, že používáte závislosti třetích stran, které jsou aktivně udržovány a jejichž vlastnictví je jasné.
- Provádějte pravidelné skenování bezpečnostních kódů, abyste odhalili tajemství a škodlivý kód ve všech externích knihovnách, zejména CocoaPods.
- Dávejte si pozor na velmi často používané závislosti, protože ty by mohly být pro potenciální útočníky atraktivnějším cílem k zneužití. CocoaPods je jen začátek.
Co potřebuješ udělat
Dlouhá a krátká je jednoduchá – pravděpodobně jste v pořádku. Neexistuje žádný důkaz, že by tyto zranitelnosti byly někdy zneužity. Nedostatek důkazů samozřejmě neznamená, že žádné důkazy neexistují, takže to není úplná výhra.
Pokud však byl modul pozměněn a použit ke shromažďování citlivých dat nebo infikování strojů jinými způsoby, zjevně to nebylo provedeno způsobem, kterého si někdo všiml. Jako uživatel můžete jedinou věcí, kterou můžete udělat, je zajistit, že používáte důvěryhodné aplikace, které zůstávají aktuální, a měli byste na svých účtech sledovat podivnou aktivitu.
Problém byl opraven a staré klíče relace byly vymazány. Takže budoucí problémy s CocoaPods související s těmito zranitelnostmi by neměly nastat.
Udržujte svá zařízení a aplikace aktuální, abyste měli jistotu, že budete vždy pracovat s nejnovějšími záplatami a opravami chyb.
Zdroj: appleinsider.com