Sigurnosni istraživači u E.V.A Informacionoj sigurnosti otkrili su nekoliko kritičnih ranjivosti u CocoaPods-u, popularnom upravljaču zavisnostima za Swift i Objective-C projekte. Ove ranjivosti potencijalno izlažu milione Apple uređaja napadima na lanac snabdijevanja, ističući rastuće rizike povezane sa zavisnostima open-source softvera.

CocoaPods, koji se koristi u više od tri miliona mobilnih aplikacija, igra ključnu ulogu u ekosistemu razvoja iOS i macOS platformi. Otkrivene slabosti omogućavaju napadačima da preuzmu vlasništvo nad napuštenim paketima, izvrše proizvoljni kod na CocoaPods 'Trunk' serveru i izvedu preuzimanja naloga bez interakcije korisnika.

Detalji ranjivosti:

1. Neautorizovano preuzimanje vlasništva nad napuštenim paketima (CVE-2024-38368): Napadači mogu preuzeti vlasništvo nad bilo kojim od 1.866 napuštenih paketa, što potencijalno omogućava ubacivanje zlonamjernog koda u široko korištene pakete.

2. Izvršavanje udaljenog koda na 'Trunk' serveru (CVE-2024-38366): Greška u procesu verifikacije e-pošte može omogućiti napadačima da izvrše proizvoljni kod na serveru koji upravlja distribucijom paketa.

3. Preuzimanje naloga bez interakcije korisnika (CVE-2024-38367): Iskorištavanjem zaglavlja X-Forwarded-Host i alata za zaštitu e-pošte, napadači mogu dobiti neautorizovan pristup developerovim nalozima.

Ove ranjivosti utiču na značajan dio ekosistema aplikacija koje koriste Swift i Objective-C, potencijalno pogađajući hiljade do miliona aplikacija na iOS-u, macOS-u i drugim Apple platformama. Velike kompanije poput Google-a, GitHub-a, Amazon-a i Dropbox-a održavaju projekte koji mogu biti ugroženi ovim slabostima.

"Iako su mnogi od ovih neiskorišćenih paketa i dalje široko korišćeni, pronašli smo spomenute napuštene pakete u dokumentaciji ili uslovima usluge aplikacija koje pružaju Meta (Facebook, WhatsApp), Apple (Safari, AppleTV, Xcode) i Microsoft (Teams); kao i u TikTok-u, Snapchat-u, Amazon-u, LinkedIn-u, Netflix-u, Okta-i, Yahoo-u, Zynga-i i mnogim drugim," objasnili su istraživači iz E.V.A Informacione sigurnosti.

Potencijalne posljedice ovih ranjivosti su ozbiljne. Napadači bi mogli da pristupe osjetljivim korisničkim informacijama, uključujući podatke o kreditnim karticama i medicinskim zapisima, što može dovesti do ransomware napada, prevare ili korporativne špijunaže.

Razvojni timovi i organizacije koje koriste CocoaPods, posebno prije oktobra 2023. godine, savjetuje se da odmah preduzmu sljedeće mjere:

- Pregledaju listu zavisnosti i provjere kontrolnih suma trećih strana.
- Sprovode sigurnosne skenove radi detekcije zlonamjernog koda ili sumnjivih promjena.
- Redovno ažuriraju softver i ograniče upotrebu napuštenih ili neodržavanih paketa.
- Sprovode temeljne sigurnosne preglede trećeg-party koda.
- Provjere da li se koriste napušteni paketi.

Tim CocoaPods-a je obaviješten o ovim ranjivostima i od tada ih je zakrpao. Međutim, ovaj incident služi kao oštar podsjetnik na rizike povezane sa teškom zavisnošću o open-source zavisnostima i važnosti održavanja budnosti u sigurnosti softverskog lanca snabdijevanja.

Ovo otkriće ističe potrebu da razvojni timovi budu svjesni potencijalnih posljedica integracije trećeg-party koda u svoje aplikacije. Kako se softverski lanci snabdijevanja postaju sve kompleksniji, važnost poznavanja kompozicije aplikacijskog koda i osiguranja ispravnosti open-source zavisnosti je ključna.

Iako nema direktnih dokaza da su ove ranjivosti iskorištene u stvarnom svijetu, potencijalni uticaj na milione Apple uređaja širom svijeta zahtijeva proaktivni pristup sigurnosti. Razvojni timovi se ohrabruju da primijene preporučene strategije zaštite i redovno prate sigurnosni status njihovih alata za upravljanje zavisnostima.