Millionen von iOS- und macOS-Apps waren einer Sicherheitslücke ausgesetzt, die potenziell für Supply-Chain-Angriffe genutzt werden könnte, wie ein Bericht von ArsTechnica basierend auf Forschungen von EVA Information Security zeigt. Die Sicherheitslücke wurde in CocoaPods gefunden, einem Open-Source-Repository, das von vielen beliebten Apps für Apple-Plattformen verwendet wird.
Laut dem Bericht waren rund 3 Millionen iOS- und macOS-Apps, die mit CocoaPods erstellt wurden, etwa 10 Jahre lang anfällig. CocoaPods erleichtert es Entwicklern, Drittanbieter-Code durch Open-Source-Bibliotheken in ihre Apps zu integrieren. Wenn eine Bibliothek aktualisiert wird, erhalten die Apps, die sie verwenden, automatisch die neuesten Updates.
EVA Information Security enthüllte, dass die Sicherheitslücke Angreifern den Zugriff auf sensible App-Daten wie Kreditkartendaten, medizinische Aufzeichnungen und private Materialien ermöglichen könnte. Diese Daten könnten für verschiedene böswillige Zwecke verwendet werden, darunter Ransomware, Betrug, Erpressung und Industriespionage.
Die Sicherheitslücken waren mit einem unsicheren E-Mail-Verifizierungsmechanismus verbunden, der zur Authentifizierung von Entwicklern einzelner Pods (Bibliotheken) verwendet wurde. Ein Angreifer könnte beispielsweise die URL in einem Verifizierungslink manipulieren, um auf einen bösartigen Server zu verweisen. Das CocoaPods-Team hat bereits Maßnahmen ergriffen, um sicherzustellen, dass die Sicherheitslücken behoben werden.
Nachdem die EVA-Forscher die CocoaPods-Entwickler privat über die Sicherheitslücke informiert hatten, löschten diese alle Sitzungsschlüssel, um sicherzustellen, dass niemand auf die Konten zugreifen konnte, ohne zuerst die Kontrolle über die registrierte E-Mail-Adresse zu haben.
Die CocoaPods-Wartungscrew hat außerdem ein neues Verfahren zur Wiederherstellung alter verwaister Pods eingeführt, das den direkten Kontakt mit den Wartungscrews erfordert. Ein Autor müsste das Unternehmen kontaktieren, um eine dieser Abhängigkeiten zu übernehmen.
Dies ist nicht das erste Mal, dass CocoaPods von Angreifern ins Visier genommen wurde. Im Jahr 2021 bestätigten die Projektbetreuer ein Sicherheitsproblem, das es ermöglichte, dass CocoaPods-Repositories beliebigen Code auf den Servern ausführen konnten, die sie verwalten. Dies könnte verwendet werden, um vorhandene Pakete durch bösartige Versionen zu ersetzen, deren Code letztendlich in iOS- und Mac-Apps eingefügt werden könnte.
Die EVA-Forscher raten Entwicklern, die CocoaPods in ihren Apps verwenden, immer die CocoaPods-Abhängigkeiten zu überprüfen und Sicherheitsscans durchzuführen, um bösartigen Code in allen externen Bibliotheken zu erkennen.
Quelle: 9To5Mac
Apple startet sein Shopping-Event am 29. November. Kauft man ein qualifiziertes Produkt erhält man vom Konzern bis zu 200 Euro…
Die indonesische Regierung wird am Donnerstag über ein 100-Millionen-Dollar-Investitionsangebot von Apple beraten. Dieses Angebot ist Teil des Versuchs, das Verkaufsverbot…
Die dritte Public Beta von iOS 18.2 ist jetzt verfügbar und bringt kleinere Verbesserungen, Bugfixes und Performance-Optimierungen. Mit der Veröffentlichung…
Im Mai 2023 führte Apple mit den sogenannten "Schnellen Sicherheitsmaßnahmen" (englisch: Rapid Security Responses) eine neue Methode ein, um Sicherheitslücken…
Shazam, die beliebte Musikerkennungs-App von Apple, hat einen beeindruckenden Rekord erreicht: Über 100 Milliarden Songs wurden seit der Einführung des…
Apple steht vor einer entscheidenden Anhörung, bei der das Unternehmen versuchen wird, einen US-Monopolprozess gegen sich abzuwehren. Der Fall, eingereicht…
Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.
Mehr lesen