Feature

Millionen von iOS-Apps durch Sicherheitslücke in CocoaPods gefährdet

Millionen von iOS- und macOS-Apps waren einer Sicherheitslücke ausgesetzt, die potenziell für Supply-Chain-Angriffe genutzt werden könnte, wie ein Bericht von ArsTechnica basierend auf Forschungen von EVA Information Security zeigt. Die Sicherheitslücke wurde in CocoaPods gefunden, einem Open-Source-Repository, das von vielen beliebten Apps für Apple-Plattformen verwendet wird.

Sicherheitslücke in CocoaPods betraf iOS- und macOS-Apps

Laut dem Bericht waren rund 3 Millionen iOS- und macOS-Apps, die mit CocoaPods erstellt wurden, etwa 10 Jahre lang anfällig. CocoaPods erleichtert es Entwicklern, Drittanbieter-Code durch Open-Source-Bibliotheken in ihre Apps zu integrieren. Wenn eine Bibliothek aktualisiert wird, erhalten die Apps, die sie verwenden, automatisch die neuesten Updates.

EVA Information Security enthüllte, dass die Sicherheitslücke Angreifern den Zugriff auf sensible App-Daten wie Kreditkartendaten, medizinische Aufzeichnungen und private Materialien ermöglichen könnte. Diese Daten könnten für verschiedene böswillige Zwecke verwendet werden, darunter Ransomware, Betrug, Erpressung und Industriespionage.

Ursache und Behebung der Sicherheitslücke

Die Sicherheitslücken waren mit einem unsicheren E-Mail-Verifizierungsmechanismus verbunden, der zur Authentifizierung von Entwicklern einzelner Pods (Bibliotheken) verwendet wurde. Ein Angreifer könnte beispielsweise die URL in einem Verifizierungslink manipulieren, um auf einen bösartigen Server zu verweisen. Das CocoaPods-Team hat bereits Maßnahmen ergriffen, um sicherzustellen, dass die Sicherheitslücken behoben werden.

Nachdem die EVA-Forscher die CocoaPods-Entwickler privat über die Sicherheitslücke informiert hatten, löschten diese alle Sitzungsschlüssel, um sicherzustellen, dass niemand auf die Konten zugreifen konnte, ohne zuerst die Kontrolle über die registrierte E-Mail-Adresse zu haben.

Die CocoaPods-Wartungscrew hat außerdem ein neues Verfahren zur Wiederherstellung alter verwaister Pods eingeführt, das den direkten Kontakt mit den Wartungscrews erfordert. Ein Autor müsste das Unternehmen kontaktieren, um eine dieser Abhängigkeiten zu übernehmen.

Historische Angriffe und zukünftige Sicherheitsmaßnahmen

Dies ist nicht das erste Mal, dass CocoaPods von Angreifern ins Visier genommen wurde. Im Jahr 2021 bestätigten die Projektbetreuer ein Sicherheitsproblem, das es ermöglichte, dass CocoaPods-Repositories beliebigen Code auf den Servern ausführen konnten, die sie verwalten. Dies könnte verwendet werden, um vorhandene Pakete durch bösartige Versionen zu ersetzen, deren Code letztendlich in iOS- und Mac-Apps eingefügt werden könnte.

Die EVA-Forscher raten Entwicklern, die CocoaPods in ihren Apps verwenden, immer die CocoaPods-Abhängigkeiten zu überprüfen und Sicherheitsscans durchzuführen, um bösartigen Code in allen externen Bibliotheken zu erkennen.

Quelle: 9To5Mac

Michael Reimann

Neueste Artikel

USA streichen Finanzierung für Apples CVE-Sicherheitsprogramm

Die zentrale Sicherheitsdatenbank Common Vulnerabilities and Exposures (CVE) war für kurze Zeit von der Schließung bedroht, da das US-Heimatschutzministerium (DHS) die Finanzierung…

18. April 2025

Windows-Spiele auf dem Mac: Entwickler stellt Projekt Whisky ein

Mit dem Ende des Open-Source-Softwareprojekts Whisky verliert die Mac-Community eine spannende Lösung, um Windows-Spiele auf Apple Silicon-Geräten ohne Portierungslösungen auszuführen. (mehr …)

18. April 2025

Apple Watch Challenge zum Earth Day 2025 angekündigt

Am 22. April 2025, dem internationalen Earth Day, lädt Apple erneut zu einer speziellen Apple Watch Herausforderung ein. (mehr …)

18. April 2025

Neue Bilder des angeblichen „Vision Air“-Kabels von Apple aufgetaucht

Ein mutmaßlich überarbeitetes Stromkabel für ein zukünftiges Apple-Headset mit dem Namen „Vision Air“ ist jetzt erstmals auf neuen Bildern zu…

18. April 2025

Mac mini 2018 und mehr: Diese Apple-Produkte sind jetzt „Vintage“

Apple hat die Liste seiner Vintage-Produkte aktualisiert. Neu hinzugekommen sind der Mac mini 2018 und das iPhone 6s. (mehr …)

18. April 2025

Beats hebt neue USB-C-Kabel in „Pill People“-Werbung hervor

Die Apple-Marke Beats hat einen neuen Werbespot veröffentlicht, der die kürzlich eingeführten USB-C-Kabel in den Mittelpunkt stellt. Der Spot ist…

17. April 2025

Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.

Mehr lesen