manzana Es posible que los usuarios hayan estado en riesgo durante más de una década debido a una vulnerabilidad no descubierta recientemente reparada en CocoaPods, el administrador de dependencias que aloja bibliotecas de códigos para los proyectos Swift y Objective-C de Apple para el desarrollo de aplicaciones. Según un informe, los investigadores de seguridad descubrieron un problema crítico que podría haber permitido a los actores de amenazas inyectar código malicioso y acceder a datos confidenciales de los usuarios, poniendo en riesgo más de 3 millones de aplicaciones de iOS y macOS.
Las aplicaciones de Apple están en riesgo
de acuerdo a Investigadores En la empresa de ciberseguridad EVA Information Security, se encontraron tres vulnerabilidades no descubiertas previamente en CocoaPods, que podrían haber permitido a los actores de amenazas reclamar la propiedad de paquetes huérfanos, conocidos como pods. Se dice que les permitió inyectar código en aplicaciones para plataformas iOS y macOS, los sistemas operativos utilizados por Apple. iPhone Y iPad dispositivos, respectivamente.
Se dice que esta vulnerabilidad se originó en 2014 en el servidor “troncal” de CocoaPods, después de una migración. Según los investigadores, los perpetradores podrían haber utilizado la API y la dirección de correo electrónico, ambas disponibles en el código fuente de CocoaPods, para reclamar la propiedad de los casos, reemplazando el código fuente original con su propio código malicioso.
Los investigadores afirman que otra vulnerabilidad habría permitido que el proceso de verificación de correo electrónico se utilizara para ejecutar código arbitrario en el servidor, permitiendo al autor de la amenaza manipular y reemplazar dispositivos.
La explotación pone en riesgo a millones de personas IOS Y Mac Las aplicaciones, así como los datos confidenciales del usuario, como contraseñas, datos de tarjetas de crédito, registros médicos, etc., pueden verse comprometidos.
“Inyectar código en estas aplicaciones puede permitir a los atacantes acceder a esta información para cualquier propósito malicioso imaginable: ransomware, fraude, extorsión, espionaje corporativo… y en el proceso, puede exponer a las empresas a importantes responsabilidades legales y riesgos de reputación”, dijeron los investigadores. .
También se dice que las vulnerabilidades se solucionaron en octubre de 2023. Los investigadores dicen que las informaron a CocoaPods, después de lo cual se borraron todas las claves de sesión para garantizar un acceso seguro al pod.
Vulnerabilidades anteriores
Esta no es la primera vez que la aplicación CocoaPods es objeto de escrutinio por vulnerabilidades de seguridad. En 2021, fue ha sido descubierto El paquete malicioso implementado en el administrador de dependencias puede permitir que los actores de amenazas ejecuten código arbitrario en sus servidores debido a un problema de ejecución remota de código (RCE), lo que podría poner en riesgo millones de aplicaciones.
Esta vulnerabilidad se descubrió en 2015 y no se corrigió hasta 2021.