Millionen von iOS-Apps durch Sicherheitslücke in CocoaPods gefährdet

Millionen von iOS- und macOS-Apps waren einer Sicherheitslücke ausgesetzt, die potenziell für Supply-Chain-Angriffe genutzt werden könnte, wie ein Bericht von ArsTechnica basierend auf Forschungen von EVA Information Security zeigt. Die Sicherheitslücke wurde in CocoaPods gefunden, einem Open-Source-Repository, das von vielen beliebten Apps für Apple-Plattformen verwendet wird.

Sicherheitslücke in CocoaPods betraf iOS- und macOS-Apps

Laut dem Bericht waren rund 3 Millionen iOS- und macOS-Apps, die mit CocoaPods erstellt wurden, etwa 10 Jahre lang anfällig. CocoaPods erleichtert es Entwicklern, Drittanbieter-Code durch Open-Source-Bibliotheken in ihre Apps zu integrieren. Wenn eine Bibliothek aktualisiert wird, erhalten die Apps, die sie verwenden, automatisch die neuesten Updates.

EVA Information Security enthüllte, dass die Sicherheitslücke Angreifern den Zugriff auf sensible App-Daten wie Kreditkartendaten, medizinische Aufzeichnungen und private Materialien ermöglichen könnte. Diese Daten könnten für verschiedene böswillige Zwecke verwendet werden, darunter Ransomware, Betrug, Erpressung und Industriespionage.

Ursache und Behebung der Sicherheitslücke

Die Sicherheitslücken waren mit einem unsicheren E-Mail-Verifizierungsmechanismus verbunden, der zur Authentifizierung von Entwicklern einzelner Pods (Bibliotheken) verwendet wurde. Ein Angreifer könnte beispielsweise die URL in einem Verifizierungslink manipulieren, um auf einen bösartigen Server zu verweisen. Das CocoaPods-Team hat bereits Maßnahmen ergriffen, um sicherzustellen, dass die Sicherheitslücken behoben werden.

Nachdem die EVA-Forscher die CocoaPods-Entwickler privat über die Sicherheitslücke informiert hatten, löschten diese alle Sitzungsschlüssel, um sicherzustellen, dass niemand auf die Konten zugreifen konnte, ohne zuerst die Kontrolle über die registrierte E-Mail-Adresse zu haben.

Die CocoaPods-Wartungscrew hat außerdem ein neues Verfahren zur Wiederherstellung alter verwaister Pods eingeführt, das den direkten Kontakt mit den Wartungscrews erfordert. Ein Autor müsste das Unternehmen kontaktieren, um eine dieser Abhängigkeiten zu übernehmen.

Historische Angriffe und zukünftige Sicherheitsmaßnahmen

Dies ist nicht das erste Mal, dass CocoaPods von Angreifern ins Visier genommen wurde. Im Jahr 2021 bestätigten die Projektbetreuer ein Sicherheitsproblem, das es ermöglichte, dass CocoaPods-Repositories beliebigen Code auf den Servern ausführen konnten, die sie verwalten. Dies könnte verwendet werden, um vorhandene Pakete durch bösartige Versionen zu ersetzen, deren Code letztendlich in iOS- und Mac-Apps eingefügt werden könnte.

Die EVA-Forscher raten Entwicklern, die CocoaPods in ihren Apps verwenden, immer die CocoaPods-Abhängigkeiten zu überprüfen und Sicherheitsscans durchzuführen, um bösartigen Code in allen externen Bibliotheken zu erkennen.

Quelle: 9To5Mac