Miliony aplikací pro iOS a macOS byly vystaveny narušení zabezpečení, které mohlo být použito k potenciálním útokům, uvádí zpráva ArsTechnica založená na výzkumu EVA Information Security.
Tento exploit byl nalezen v CocoaPods, open-source úložišti používaném mnoha populárními aplikacemi vyvinutými pro platformy Apple. Podle zprávy bylo přibližně 3 miliony aplikací pro iOS a macOS, které byly vytvořeny pomocí CocoaPods, bylo zranitelných po dobu přibližně 10 let. Pro ty, kteří to neznají, CocoaPods vývojářům usnadňuje integraci kódu třetích stran do jejich aplikací prostřednictvím knihoven s otevřeným zdrojovým kódem. Když je knihovna aktualizována, aplikace, které ji používají, automaticky získají nejnovější aktualizace. EVA Information Security odhalila, že exploit by mohl vést útočníky k přístupu k citlivým datům aplikací, jako jsou údaje o kreditních kartách, lékařské záznamy a soukromý obsah. Data by mohla být použita pro řadu škodlivých účelů, včetně ransomwaru, podvodu a další.
Zranitelnosti souvisely s nezabezpečeným mechanismem ověřování e-mailů používaným k ověřování vývojářů jednotlivých modulů (knihoven). Hacker by například mohl zmanipulovat adresu URL v ověřovacím odkazu, aby odkazoval na škodlivý server. Tým CocoaPods již podnikl kroky, aby zajistil, že chyby budou opraveny. Poté, co výzkumníci EVA soukromě informovali vývojáře CocoaPods o zranitelnosti, vymazali všechny klíče relace, aby zajistili, že nikdo nebude mít přístup k účtům bez předchozí kontroly nad registrovanou e-mailovou adresou. Není to poprvé, co se CocoaPods stali cílem hackerů. V roce 2021 společnost potvrdila bezpečnostní problém, který umožnil úložištím CocoaPods spouštět libovolný kód na serverech, které jej spravují. To by mohlo být použito k nahrazení stávajících balíčků škodlivými verzemi s kódem, který by se mohl dostat do aplikací pro iOS a Mac.
