Es posible que los usuarios de Apple hayan estado en riesgo durante más de una década debido a una vulnerabilidad no detectada que se solucionó recientemente en CocoaPods, un administrador de dependencias que aloja bibliotecas de códigos para proyectos Swift y Objective-C para desarrollar aplicaciones para Apple. Según un informe, los investigadores de seguridad descubrieron un problema crítico que podría permitir a los actores de amenazas inyectar código malicioso y obtener acceso a datos confidenciales del usuario, comprometiendo más de 3 millones de aplicaciones de iOS y macOS.
Las aplicaciones de Apple son riesgosas
Residencia en investigador En la empresa de ciberseguridad EVA Information Security, se descubrieron tres vulnerabilidades no descubiertas previamente en CocoaPods, que podrían permitir a los actores de amenazas reclamar la propiedad de paquetes no utilizados, conocidos como pods. Dijo que la vulnerabilidad les permitió inyectar código en aplicaciones para plataformas iOS y macOS, los sistemas operativos utilizados por los dispositivos iPhone y iPad de Apple.
Esta vulnerabilidad habría aparecido en 2014 en los servidores “troncales” de CocoaPods, tras un proceso de migración. Según los investigadores, los actores de amenazas pudieron utilizar API y direcciones de correo electrónico, ambas disponibles en el código fuente de CocoaPods, para reclamar la propiedad del pod, reemplazando el código fuente original con su código fuente malicioso.
Los investigadores afirman que otra vulnerabilidad permitiría el uso de procesos de verificación de correo electrónico para ejecutar código arbitrario en servidores, lo que permitiría a los actores de amenazas manipular y reemplazar pods.
El exploit comprometió millones de aplicaciones de iOS y macOS, así como datos confidenciales de los usuarios, como contraseñas, detalles de tarjetas de crédito, registros médicos y más.
“Inyectar código en estas aplicaciones puede permitir a los atacantes acceder a esta información para casi cualquier propósito malicioso imaginable: ransomware, fraude, extorsión, espionaje corporativo… En el proceso, puede exponer a las empresas a una enorme responsabilidad legal y riesgo para su reputación”, afirmó el investigadores.
Se afirma además que la vulnerabilidad se solucionó en octubre de 2023. Los investigadores dijeron que informaron a CocoaPods al respecto, después de lo cual se eliminaron todas las claves de sesión para garantizar el acceso seguro al pod.
Vulnerabilidades anteriores
Esta no es la primera vez que CocoaPods ha sido objeto de escrutinio debido a vulnerabilidades de seguridad. En 2021, los CocoaPods también fueron objeto de escrutinio debido a vulnerabilidades de seguridad. han encontrado que los paquetes maliciosos publicados en administradores de dependencias podrían permitir que los actores de amenazas ejecuten código arbitrario en sus servidores debido a problemas de ejecución remota de código (RCE), comprometiendo potencialmente millones de aplicaciones.
Se sabe que esta vulnerabilidad existe desde 2015 y no se solucionó hasta 2021.
