Millionen von iOS- und macOS-Apps waren einer Sicherheitslücke ausgesetzt, die potenziell für Supply-Chain-Angriffe genutzt werden könnte, wie ein Bericht von ArsTechnica basierend auf Forschungen von EVA Information Security zeigt. Die Sicherheitslücke wurde in CocoaPods gefunden, einem Open-Source-Repository, das von vielen beliebten Apps für Apple-Plattformen verwendet wird.
Laut dem Bericht waren rund 3 Millionen iOS- und macOS-Apps, die mit CocoaPods erstellt wurden, etwa 10 Jahre lang anfällig. CocoaPods erleichtert es Entwicklern, Drittanbieter-Code durch Open-Source-Bibliotheken in ihre Apps zu integrieren. Wenn eine Bibliothek aktualisiert wird, erhalten die Apps, die sie verwenden, automatisch die neuesten Updates.
EVA Information Security enthüllte, dass die Sicherheitslücke Angreifern den Zugriff auf sensible App-Daten wie Kreditkartendaten, medizinische Aufzeichnungen und private Materialien ermöglichen könnte. Diese Daten könnten für verschiedene böswillige Zwecke verwendet werden, darunter Ransomware, Betrug, Erpressung und Industriespionage.
Die Sicherheitslücken waren mit einem unsicheren E-Mail-Verifizierungsmechanismus verbunden, der zur Authentifizierung von Entwicklern einzelner Pods (Bibliotheken) verwendet wurde. Ein Angreifer könnte beispielsweise die URL in einem Verifizierungslink manipulieren, um auf einen bösartigen Server zu verweisen. Das CocoaPods-Team hat bereits Maßnahmen ergriffen, um sicherzustellen, dass die Sicherheitslücken behoben werden.
Nachdem die EVA-Forscher die CocoaPods-Entwickler privat über die Sicherheitslücke informiert hatten, löschten diese alle Sitzungsschlüssel, um sicherzustellen, dass niemand auf die Konten zugreifen konnte, ohne zuerst die Kontrolle über die registrierte E-Mail-Adresse zu haben.
Die CocoaPods-Wartungscrew hat außerdem ein neues Verfahren zur Wiederherstellung alter verwaister Pods eingeführt, das den direkten Kontakt mit den Wartungscrews erfordert. Ein Autor müsste das Unternehmen kontaktieren, um eine dieser Abhängigkeiten zu übernehmen.
Dies ist nicht das erste Mal, dass CocoaPods von Angreifern ins Visier genommen wurde. Im Jahr 2021 bestätigten die Projektbetreuer ein Sicherheitsproblem, das es ermöglichte, dass CocoaPods-Repositories beliebigen Code auf den Servern ausführen konnten, die sie verwalten. Dies könnte verwendet werden, um vorhandene Pakete durch bösartige Versionen zu ersetzen, deren Code letztendlich in iOS- und Mac-Apps eingefügt werden könnte.
Die EVA-Forscher raten Entwicklern, die CocoaPods in ihren Apps verwenden, immer die CocoaPods-Abhängigkeiten zu überprüfen und Sicherheitsscans durchzuführen, um bösartigen Code in allen externen Bibliotheken zu erkennen.
Quelle: 9To5Mac
Mit der Einführung von macOS Sequoia hat Apple weitere Entwicklungen vorgestellt, die bestimmte Funktionen exklusiv für Geräte mit Apple Silicon…
Apple entwickelt den M5-Chip mit einem innovativen Dual-Use-Design, das zukünftige Macs und KI-Server antreiben soll. (mehr …)
Meta Quest intensiviert seine Bemühungen, mit Apples Vision Pro in Sachen Features zu konkurrieren. Das Unternehmen unterstützt jetzt bis zu…
Netflix trifft weitreichende Entscheidungen, die sowohl Abonnementoptionen als auch Unterhaltungsangebote betreffen. In einigen Regionen endet das werbefreie Basis-Abo, während gleichzeitig…
In der neuesten Beta-Version von iPadOS 18 sind Hinweise auf kommende iPad-Modelle aufgetaucht. Dazu gehören das iPad 11, das iPad…
Apple zeigt sich optimistisch, dass die neuen KI-Funktionen eine Absatzsteigerung des iPhone 16 im Vergleich zum Vorjahr bringen werden. Berichte…
Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.
Mehr lesen