Un grave problema de seguridad ha sido descubierto en millones de aplicaciones de iOS y macOS, exponiendo a los usuarios y desarrolladores a posibles ataques de cadena de suministro. Según un informe de ArsTechnica basado en la investigación de EVA Information Security, se encontró un exploit en CocoaPods, un repositorio de código abierto utilizado por muchas aplicaciones populares desarrolladas para las plataformas de Apple.
El informe revela que alrededor de 3 millones de aplicaciones de iOS y macOS construidas con CocoaPods han sido vulnerables durante aproximadamente 10 años. CocoaPods facilita a los desarrolladores la integración de código de terceros en sus aplicaciones a través de bibliotecas de código abierto. Cuando una biblioteca se actualiza, las aplicaciones que la utilizan reciben automáticamente las últimas actualizaciones.
EVA Information Security señaló que el exploit podría permitir a los atacantes acceder a datos sensibles de la aplicación, como detalles de tarjetas de crédito, registros médicos y material privado. Estos datos podrían ser utilizados para diversos propósitos maliciosos, como ransomware, fraude, chantaje y espionaje corporativo.
Las vulnerabilidades estaban relacionadas con un mecanismo inseguro de verificación por correo electrónico utilizado para autenticar a los desarrolladores de pods individuales (bibliotecas). Por ejemplo, un atacante podría manipular la URL de un enlace de verificación para que apunte a un servidor malicioso. El equipo de CocoaPods ya ha tomado medidas para asegurar que los exploits sean corregidos.
Después de que los investigadores de EVA notificaron de forma privada a los desarrolladores de CocoaPods sobre la vulnerabilidad, borraron todas las claves de sesión para garantizar que nadie pudiera acceder a las cuentas sin tener control de la dirección de correo electrónico registrada. Los mantenedores de CocoaPods también añadieron un nuevo procedimiento para recuperar los pods huérfanos antiguos que requiere contactar a los mantenedores directamente. En este punto, un autor tendría que contactar a la empresa para hacerse cargo de una de esas dependencias.
Esta no es la primera vez que CocoaPods ha sido objeto de ataques. En 2021, los mantenedores del proyecto confirmaron un problema de seguridad que permitía a los repositorios de CocoaPods ejecutar código arbitrario en los servidores que lo gestionan. Esto podría utilizarse para reemplazar paquetes existentes por versiones maliciosas con código que podría terminar siendo utilizado en aplicaciones de iOS y Mac.
Los investigadores de EVA aconsejan a los desarrolladores que utilizan CocoaPods en sus aplicaciones revisar siempre las dependencias de CocoaPods y ejecutar escaneos de seguridad para detectar código malicioso en todas las bibliotecas externas.
GIPHY App Key not set. Please check settings