Milioni di app iOS e macOS sono state esposte a una vulnerabilità di sicurezza che potrebbe essere sfruttata per vari tipi di attacchi, secondo un report di ArsTechnica basato su ricerche di EVA Information Security. L’exploit è stato trovato in CocoaPods, un repository open-source utilizzato da molte app popolari sviluppate per le piattaforme Apple.
Il report indica che circa 3 milioni di app iOS e macOS, costruite con CocoaPods, sono state vulnerabili per circa 10 anni. Per chi non lo sapesse, CocoaPods facilita l’integrazione del codice di terze parti nelle app tramite librerie open-source. Quando una libreria viene aggiornata, le app che la utilizzano ottengono automaticamente gli aggiornamenti più recenti.
EVA Information Security ha rivelato che l’exploit potrebbe permettere agli aggressori di accedere a dati sensibili delle app, come dettagli delle carte di credito, cartelle cliniche e materiali privati. Questi dati potrebbero essere usati per scopi malevoli, tra cui ransomware, frode, ricatto e spionaggio aziendale.
Le vulnerabilità erano legate a un meccanismo di verifica email non sicuro utilizzato per autenticare gli sviluppatori delle singole pod (librerie). Ad esempio, un aggressore potrebbe manipolare l’URL in un link di verifica per puntare a un server malevolo. Il team di CocoaPods ha già preso provvedimenti per risolvere le falle.
Dopo che i ricercatori di EVA hanno notificato privatamente agli sviluppatori di CocoaPods della vulnerabilità, hanno cancellato tutte le chiavi di sessione per garantire che nessuno potesse accedere agli account senza avere prima il controllo dell’indirizzo email registrato.
I manutentori di CocoaPods hanno anche aggiunto una nuova procedura per recuperare le pod orfane che richiede di contattare direttamente i manutentori. Un autore deve ora contattare la compagnia per prendere il controllo di una di queste dipendenze.
Non è la prima volta che CocoaPods viene preso di mira da attacchi. Nel 2021, i manutentori del progetto hanno confermato un problema di sicurezza che permetteva ai repository di CocoaPods di eseguire codice arbitrario sui server che li gestiscono. Questo poteva essere utilizzato per sostituire pacchetti esistenti con versioni malevole contenenti codice potenzialmente pericoloso per le app iOS e Mac.
I ricercatori di EVA consigliano agli sviluppatori che utilizzano CocoaPods nelle loro app di rivedere sempre le dipendenze di CocoaPods e di eseguire scansioni di sicurezza per rilevare codice malevolo in tutte le librerie esterne.