ATENÇÃO! Este modelo de celular foi exposto a falha de segurança perigosa
Estudiosos identificaram falhas significativas no CocoaPods, um repositório amplamente utilizado para gerenciar projetos em Swift e Objective-C, expondo cerca de 3 milhões de aplicativos iOS e macOS a ataques de cadeia de suprimentos.
Essas vulnerabilidades, que passaram despercebidas por uma década, poderiam comprometer dados sensíveis de milhões de usuários, criando graves riscos de segurança. As falhas foram corrigidas em outubro.
A exposição de risco através do CocoaPods foi destacada pelo ArsTechnica com base em pesquisas da EVA Information Security.
Navegue Aqui
O que é o CocoaPods?
O CocoaPods é um gerenciador de dependências de código aberto para desenvolvimento de software em plataformas Apple, como iOS e macOS. Ele facilita a integração de bibliotecas de terceiros nos aplicativos, permitindo que os desenvolvedores incorporem rapidamente frameworks e componentes adicionais.
O gerenciador automatiza a instalação e atualização dessas bibliotecas, garantindo o uso das versões mais recentes e compatíveis, o que agiliza o desenvolvimento e a manutenção dos aplicativos.
Natureza das vulnerabilidades
Três vulnerabilidades foram identificadas:
- CVE-2024-38367: Um mecanismo inseguro de verificação de e-mail permitia que invasores manipulassem URLs e injetassem código malicioso em aplicativos, expondo informações sensíveis dos usuários, como detalhes de cartões de crédito e registros médicos.
- CVE-2024-38368: Invasores podiam assumir o controle de pods abandonados e injetar atualizações prejudiciais em aplicativos amplamente usados.
- CVE-2024-38366: Falhas no processo de verificação de e-mails permitiam a execução de código no servidor trunk, concedendo aos invasores acesso ao shell do servidor e expondo variáveis de ambiente.
Medidas de resposta e mitigação
Em resposta, os mantenedores do CocoaPods corrigiram essas vulnerabilidades em outubro. Todas as chaves de sessão foram limpas para proteger as contas dos desenvolvedores, e um novo procedimento para recuperação de pods órfãos foi implementado, exigindo contato direto com os mantenedores.
Embora não haja confirmação de exploração ativa dessas falhas, os cenários descritos pelos pesquisadores foram considerados plausíveis.
Recomendações para desenvolvedores
Os pesquisadores da EVA recomendaram várias medidas de precaução para desenvolvedores que utilizam o CocoaPods:
- Sincronizar o arquivo podfile.lock entre todos os desenvolvedores.
- Realizar validação CRC nos Pods desenvolvidos internamente.
- Conduzir revisões de segurança completas do código de terceiros.
- Verificar a manutenção ativa e a propriedade clara das dependências.
- Fazer varreduras periódicas para detectar código malicioso em bibliotecas externas.
- Ser cauteloso com dependências amplamente usadas, pois são alvos atraentes para ataques.