Ad image

Groźne luki w CocoaPods – miliony aplikacji na iOS zagrożone przez dekadę

Naukowcy odkryli potencjalnie niebezpieczne błędy w repozytorium CocoaPods. Choć nie ma dowodów na ich wykorzystanie, skala zagrożenia była ogromna.

Kuba Kowalczyk - Dziennikarz Brandsit 2 min

Niedawno odkryte błędy w CocoaPods mogły umożliwić hakerom nadużywanie około trzech milionów aplikacji na iOS przez ostatnie dziesięć lat. Badacze bezpieczeństwa z EVA Information Security zidentyfikowali kilka krytycznych luk pod koniec zeszłego roku, które mogły zostać wykorzystane do modyfikacji kodu aplikacji na masową skalę. Na szczęście, jak dotąd nic nie wskazuje na to, aby takie ataki miały miejsce.

Luka w ekosystemie open source

CocoaPods to popularne repozytorium open source dla projektów w językach Swift i Objective-C. Programiści integrują kod z tych pakietów, zwanych “Podami”, bezpośrednio ze swoimi aplikacjami. Aktualizacje Podów są automatycznie wdrażane, co sprawia, że kod aplikacji jest mocno zależny od tych zewnętrznych bibliotek. Aplikacje te działają na iPhone’ach, często mając dostęp do poufnych danych użytkowników, takich jak informacje osobowe czy dane kart płatniczych.

Groźny dostęp dla hakerów

Odkrycia badaczy z EVA Information Security wskazują, że luki w zabezpieczeniach CocoaPods pozwalały potencjalnym atakującym na ominięcie uwierzytelniania lub manipulację komunikacją z programistami. Hakerzy mogli w ten sposób przejąć sesje deweloperów, uzyskując dostęp do ich Podów. Teoretycznie, przez dekadę hakerzy mogli potajemnie dostosowywać legalne Pody, dodając do nich złośliwy kod, który następnie byłby automatycznie wdrażany do aplikacji użytkowników.

Szybka reakcja i zapobieganie

Po odkryciu luk, CocoaPods podjęło natychmiastowe działania, zamykając przecieki i resetując wszystkie tokeny sesji. Organizacja zapewnia, że nie ma dowodów na praktyczne wykorzystanie tych luk przez hakerów, ale mimo to zaleca programistom sprawdzenie autentyczności Podów oraz platformy.

Skala zagrożenia

Chociaż tym razem udało się uniknąć poważnych konsekwencji, potencjalne skutki takich luk były ogromne. CocoaPods stanowi kluczowy element łańcucha dostaw aplikacji. Atakujący, mający możliwość dostosowania popularnego i szeroko stosowanego Podu, mógłby zaatakować setki tysięcy aplikacji jednocześnie.