Es posible que los usuarios de Apple hayan quedado vulnerables durante más de una década debido a una vulnerabilidad recientemente descubierta en CocoaPods, el administrador de confianza que aloja bibliotecas de códigos para proyectos Swift y Objective-C -C para desarrollar aplicaciones de Apple. Según el informe, los investigadores de seguridad descubrieron un problema crítico que podría haber permitido a los actores inyectar código malicioso y acceder a información confidencial del usuario, poniendo en riesgo a más de 3 millones de dispositivos iOS y macOS.
Las aplicaciones de Apple son vulnerables
seguir investigadores En la empresa de ciberseguridad EVA Information Security, se encontraron tres vulnerabilidades no descubiertas previamente en CocoaPods, que habrían permitido a los actores de amenazas reclamar la propiedad de paquetes huérfanos, conocidos como pods. Se dice que les ayudó a instalar el código en las aplicaciones de las plataformas iOS y macOS, las aplicaciones utilizadas por los dispositivos iPhone y iPad de Apple, respectivamente.
Esta vulnerabilidad supuestamente comenzó en 2014 en el servidor “troncal” de CocoaPods, luego de un proceso de migración. Según los investigadores, los actores de amenazas podrían haber utilizado la API y la dirección de correo electrónico, ambas encontradas en el código fuente de CocoaPods, para reclamar a los propietarios de los pods, reemplazando su código fuente con e bad.
Los investigadores dijeron que otra vulnerabilidad podría haber permitido el uso del proceso de autenticación de correo electrónico para ejecutar código arbitrario en el servidor, permitiendo al actor de amenazas controlar y recuperar los pods.
Estos sistemas almacenan millones de aplicaciones de iOS y MacOS, así como información confidencial del usuario, como contraseñas, información de tarjetas de crédito, registros médicos y más.
“Añadir código a estos sistemas puede permitir a los atacantes acceder a esta información para cualquier propósito malicioso: ransomware, fraude, chantaje, espionaje corporativo… En este proceso, puede exponer a las empresas a responsabilidades legales y riesgos reputacionales”, dijeron los investigadores.
También se dice que la vulnerabilidad se introdujo en octubre de 2023. Los investigadores dijeron que notificaron a CocoaPods al respecto, después de lo cual se eliminaron todas las claves de sesión para garantizar el acceso seguro a los pods.
Debilidad pasada
No es la primera vez que CocoaPods es objeto de escrutinio por fallas de seguridad. En 2021, fue descubierto que un paquete malicioso distribuido al administrador de confianza podría permitir que los actores de amenazas ejecuten código no deseado en sus servidores debido a un problema de “ejecución remota de código” (RCE), lo que podría poner en riesgo millones de sistemas.
Esta vulnerabilidad se descubrió en 2015 y no se solucionó hasta 2021.
