Una herramienta clave utilizada principalmente para desarrollar aplicaciones iOS y macOS se ha visto comprometida de una manera que ha abierto el camino para que millones de aplicaciones Mac sufran ataques a la cadena de suministro, advirtieron los expertos.
Los investigadores de ciberseguridad EVA Information Security afirman que un administrador de dependencias para proyectos Swift y Objective-C llamado CocoaPods alberga tres vulnerabilidades en un servidor “troncal” utilizado para administrar CocoaPods.
Una vulnerabilidad radica en el mecanismo de correo electrónico de verificación que utiliza la plataforma para verificar la identidad de los desarrolladores de pods. Para obtener acceso a una cuenta, el desarrollador ingresa su dirección de correo electrónico asociada con el pod y luego recibe un enlace enviado a su correo electrónico. Sin embargo, la URL del enlace se puede cambiar para redirigir al desarrollador a un servidor bajo el control de los atacantes.
Millones de personas están en riesgo
La segunda vulnerabilidad permitió a los atacantes tomar el control de volúmenes que habían sido abandonados por los desarrolladores, pero que todavía se utilizaban en las aplicaciones. La tercera vulnerabilidad brinda a los atacantes la capacidad de ejecutar código en el servidor principal.
Dado que casi tres millones de aplicaciones móviles utilizan alrededor de 100.000 bibliotecas en la plataforma, la superficie de ataque es muy grande. Lo peor es que una vez que cambies la biblioteca, las aplicaciones que utilices la actualizarán automáticamente, sin ninguna interacción del usuario final.
“Muchas aplicaciones pueden acceder a la información más confidencial de un usuario: detalles de tarjetas de crédito, registros médicos, materiales privados y más”, dijeron los investigadores en su informe. “Inyectar código en estas aplicaciones podría permitir a los atacantes acceder a esta información para casi cualquier propósito malicioso imaginable.Secuestro de datos“El fraude, la extorsión y el espionaje corporativo… y en el proceso, pueden exponer a las empresas a importantes responsabilidades legales y riesgos de reputación”.
Las vulnerabilidades se revelaron y solucionaron en octubre de 2023; en ese momento, no había evidencia de abuso. Hoy en día, los desarrolladores y usuarios de aplicaciones no están obligados a hacer nada para proteger sus edificios.