I ricercatori di sicurezza di E.V.A Information Security hanno scoperto diverse vulnerabilità critiche in CocoaPods, un popolare gestore di dipendenze per progetti Swift e Objective-C. Queste vulnerabilità espongono potenzialmente milioni di dispositivi Apple ad attacchi alla catena di distribuzione, evidenziando i crescenti rischi associati alle dipendenze del software open-source.
CocoaPods, utilizzato in oltre tre milioni di app mobili, svolge un ruolo cruciale nell’ecosistema di sviluppo di iOS e macOS. Le falle scoperte potrebbero consentire agli aggressori di rivendicare la proprietà di pacchetti orfani, di eseguire codice arbitrario sul server “Trunk” di CocoaPods e di effettuare acquisizioni di account senza clic.
Dettagli della vulnerabilità:
- Proprietà non autorizzata di pod orfani (CVE-2024-38368): Gli aggressori potrebbero rivendicare la proprietà di uno qualsiasi dei 1.866 pod orfani, iniettando potenzialmente codice dannoso in pacchetti ampiamente utilizzati.
- Esecuzione di codice remoto sul server “Trunk” (CVE-2024-38366): Un difetto nel processo di verifica delle e-mail potrebbe consentire agli aggressori di eseguire codice arbitrario sul server che gestisce la distribuzione dei pacchetti.
- Acquisizione dell’account senza clic (CVE-2024-38367): Sfruttando l’intestazione X-Forwarded-Host e gli strumenti di sicurezza delle e-mail, gli aggressori potrebbero ottenere un accesso non autorizzato agli account degli sviluppatori.
Le vulnerabilità interessano una parte significativa dell’ecosistema delle applicazioni Swift e Objective-C, con un potenziale impatto su migliaia o milioni di app su iOS, macOS e altre piattaforme Apple. Aziende importanti come Google, GitHub, Amazon e Dropbox gestiscono progetti che potrebbero essere a rischio a causa di queste falle.
“Molti di questi Pod non reclamati sono ancora ampiamente utilizzati. Abbiamo trovato menzioni di Pod orfani nella documentazione o nei termini di servizio delle applicazioni fornite da Meta (Facebook, WhatsApp), Apple (Safari, AppleTV, Xcode) e Microsoft (Teams); così come in TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga e molti altri”, spiegano i ricercatori di E.V.A Information Security.
Le potenziali conseguenze di queste vulnerabilità sono gravi. I malintenzionati potrebbero potenzialmente accedere alle informazioni sensibili degli utenti, compresi i dati delle carte di credito e le cartelle cliniche, causando attacchi ransomware, frodi o spionaggio aziendale.
Si consiglia agli sviluppatori e alle organizzazioni che utilizzano CocoaPods, soprattutto prima di ottobre 2023, di prendere provvedimenti immediati:
- Esaminare gli elenchi delle dipendenze e convalidare le checksum delle librerie di terze parti.
- Eseguire scansioni di sicurezza per rilevare codice dannoso o modifiche sospette.
- Mantenere il software aggiornato e limitare l’uso di pacchetti orfani o non mantenuti.
- Implementare revisioni di sicurezza approfondite del codice di terze parti.
- Verificare che non siano in uso Pod orfani.
- Assicurarsi che le dipendenze di terze parti siano mantenute attivamente con una chiara proprietà.
Il team di CocoaPods è stato informato di queste vulnerabilità e ha provveduto a correggerle. Tuttavia, l’incidente serve a ricordare i rischi associati all’affidarsi pesantemente alle dipendenze open-source e l’importanza di mantenere la vigilanza sulla sicurezza della catena di approvvigionamento del software.
Questa scoperta sottolinea la necessità per gli sviluppatori di rimanere consapevoli delle potenziali conseguenze dell’integrazione di codice di terze parti nelle loro applicazioni. Poiché le catene di fornitura del software diventano sempre più complesse, la comprensione della composizione del codice delle applicazioni e la garanzia della validità delle dipendenze open-source sono fondamentali.
Sebbene non vi siano prove dirette di sfruttamento di queste vulnerabilità, il potenziale impatto su milioni di dispositivi Apple in tutto il mondo richiede un approccio proattivo alla sicurezza. Gli sviluppatori sono invitati a implementare le strategie di mitigazione consigliate e a tenersi informati sullo stato di sicurezza dei loro strumenti di gestione delle dipendenze.
