iOS: milioni di app esposte a violazione di sicurezza in CocoaPods

Milioni di applicazioni iOS e macOS sono state esposte a una violazione della sicurezza che potrebbe essere utilizzata per potenziali attacchi alla catena di fornitura. La nuova falla è stata rivelata dai ricercatori di EVA Information Security. L'exploit è stato trovato in CocoaPods, un repository open source utilizzato da molte app popolari sviluppate per le piattaforme Apple. Secondo il report, sono circa 3 milioni le app iOS e macOS realizzate con CocoaPods vulnerabili (da circa 10 anni). Per chi non lo conoscesse, CocoaPods consente agli sviluppatori di integrare facilmente codice di terze parti nelle proprie app tramite librerie open source. Quando una libreria viene aggiornata, le app che la utilizzano ricevono automaticamente gli aggiornamenti più recenti.

EVA Information Security ha rivelato che l'exploit potrebbe indurre gli aggressori ad accedere a dati sensibili delle app come dettagli di carte di credito, cartelle cliniche e materiale privato. I dati potrebbero essere utilizzati per una serie di scopi dannosi, tra cui rilascio di ransomware, frodi, ricatti e spionaggio aziendale.

iOS: CocoaPods ha già preso misure per risolvere il problema di sicurezza

Le vulnerabilità iOS erano legate a un meccanismo di verifica della posta elettronica non sicuro utilizzato per autenticare gli sviluppatori di singoli pod (librerie). Ad esempio, un utente malintenzionato potrebbe manipolare l'URL in un link di verifica per indirizzare a un server dannoso. Il team CocoaPods ha già adottato misure per garantire che gli exploit vengano risolti. Come rivelato dalla società di sicurezza. “Dopo che i ricercatori di EVA hanno informato privatamente gli sviluppatori di CocoaPods della vulnerabilità, hanno cancellato tutte le chiavi di sessione per garantire che nessuno potesse accedere agli account senza prima avere il controllo dell'indirizzo e-mail registrato. I manutentori di CocoaPods hanno anche aggiunto una nuova procedura per il recupero dei vecchi pod orfani che richiede di contattare direttamente i manutentori. A questo punto un autore dovrebbe contattare l'azienda per assumere il controllo di una di queste dipendenze”.

Questa non è la prima volta che CocoaPods viene preso di mira dagli aggressori. Nel 2021, i manutentori del progetto hanno confermato un problema di sicurezza che consentiva ai repository CocoaPods di eseguire codice arbitrario sui server che lo gestiscono. Questo poteva essere utilizzato per sostituire i pacchetti esistenti con versioni dannose con codice che potrebbe finire nelle app iOS e Mac. I ricercatori di EVA consigliano agli sviluppatori che utilizzano CocoaPods nelle loro app di esaminare sempre le dipendenze di CocoaPods. Inoltre, è necessario eseguire scansioni di sicurezza periodiche per rilevare codice dannoso in tutte le librerie esterne.