cocoapods cyber attack

Le vulnerabilità di Cocoapods potrebbero minacciare TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger e molti altri.

Una serie di vulnerabilità appena scoperte in un’utilità software open source ampiamente utilizzata potrebbe portare grandi problemi per gran parte degli ecosistemi iOS e MacOS.

I bug in questione potrebbero avere un impatto su migliaia di app ampiamente utilizzate, tra cui programmi popolari come TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger e molti altri, secondo la ricerca sulla sicurezza associata. Mentre i componenti open source stessi sono stati patchati, i team DevOps per le app stanno lavorando per garantire che i loro sistemi siano adeguatamente aggiornati per proteggere gli utenti da un potenziale rischio.

Cocoapods

Le vulnerabilità sono state scoperte in Cocoapods, un tool molto usato per lo sviluppo di progetti software.

CocoaPods è uno strumento di gestione delle dipendenze per progetti Objective-C, simile a Maven per i progetti Java o Composer per PHP. L’idea è che una volta aggiunti i framework di terze parti al progetto, non c’è più bisogno di verificare se esistono versioni più recenti, CocoaPods si occuperà di gestire le dipendenze. In pratica permette di installare ed aggiornare automaticamente i framework creati da altri sviluppatori all’interno del progetto Xcode.

Questi tool di gestione delle dipendenze sono strumenti vitali nel processo di sviluppo del software, consentono la convalida e la firma crittografica dei pacchetti software. La violazione e corruzione di uno strumento di questo tipo può avere gravi consenguenze per il web.

E.V.A. Research

I bugs di Cocoapods sono stati scoperti da E.V.A. Research, una società di cibersicurezza e di pentesting. I bug sono il risultato di una migrazione imperfetta del server Cocoapods (fatta nel 2014), che ha portato a creare migliaia di pacchetti software “orfani”.

A causa delle carenze di sicurezza nel sistema, tali pacchetti potrebbero essere stati facilmente violati con l’obiettivo di commettere attacchi, che potrebbero introdurre aggiornamenti di codice dannosi per diversi progetti. I ricercatori spiegano la situazione in questo modo:

Un processo di migrazione del 2014 ha lasciato migliaia di pacchetti con il proprietario originale sconosciuto, molti dei quali sono ancora ampiamente utilizzati in diverse librerie. Utilizzando un’API pubblica e un indirizzo e-mail che era disponibile nel codice sorgente di CocoaPods, un utente malintenzionato potrebbe rivendicare la proprietà su uno di questi pacchetti, che avrebbe quindi permesso all’attaccante di sostituire il codice sorgente originale con il proprio codice dannoso … Le vulnerabilità che abbiamo scoperto potrebbero essere utilizzate per controllare il gestore delle dipendenze stesso e qualsiasi pacchetto pubblicato. Le dipendenze a valle potrebbero significare che migliaia di applicazioni e milioni di dispositivi sono stati esposti negli ultimi anni.

Patch

Tutti e tre i bug sono stati patchati, ma la loro gravità, e il fatto che siano stati lasciati per ben nove anni, sta sicuramente preoccupando molti team di software. Il motivo per cui Apple è al centro di questo problema è che molte app iOS e MacOS sono codificate utilizzando sia Swift che Objective-C, rendendole particolarmente vulnerabili.

Conseguenze

I ricercatori scrivono che i bug potrebbero avere un impatto su “migliaia” o “milioni” di app. Un “attacco all’ecosistema delle app mobili potrebbe infettare quasi tutti i dispositivi Apple, lasciando migliaia di organizzazioni vulnerabili a danni finanziari e reputazionali catastrofici”.

I ricercatori dicono di non aver ancora visto alcuna prova che suggerisca che le app siano state effettivamente compromesse. Ma se si verificassero dei problemi, potremmo avere conseguenze importanti per gli utenti. I ricercatori osservano che molte app possono “accedere a informazioni più sensibili come carte di credito, cartelle cliniche, materiali privati”. Quindi un criminale informatico potrebbe iniettare codice nelle app tramite i pod compromessi, consentendo “di accedere a queste informazioni per qualsiasi scopo dannoso che si possa immaginare – ransomware, ricatti, spionaggio aziendale”.

Le carenze di sicurezza che possono sorgere nel software open source sono ben note. L’industria del software commerciale si affida al FOSS per costruire i suoi prodotti commerciali. Spesso però poco tempo viene speso per proteggere l’ecosistema software libero, su cui Internet è costruito.

BlogInnovazione.it

Autore