Millionen von iOS- und macOS-Apps waren einer Sicherheitslücke ausgesetzt, die potenziell für Supply-Chain-Angriffe genutzt werden könnte, wie ein Bericht von ArsTechnica basierend auf Forschungen von EVA Information Security zeigt. Die Sicherheitslücke wurde in CocoaPods gefunden, einem Open-Source-Repository, das von vielen beliebten Apps für Apple-Plattformen verwendet wird.
Laut dem Bericht waren rund 3 Millionen iOS- und macOS-Apps, die mit CocoaPods erstellt wurden, etwa 10 Jahre lang anfällig. CocoaPods erleichtert es Entwicklern, Drittanbieter-Code durch Open-Source-Bibliotheken in ihre Apps zu integrieren. Wenn eine Bibliothek aktualisiert wird, erhalten die Apps, die sie verwenden, automatisch die neuesten Updates.
EVA Information Security enthüllte, dass die Sicherheitslücke Angreifern den Zugriff auf sensible App-Daten wie Kreditkartendaten, medizinische Aufzeichnungen und private Materialien ermöglichen könnte. Diese Daten könnten für verschiedene böswillige Zwecke verwendet werden, darunter Ransomware, Betrug, Erpressung und Industriespionage.
Die Sicherheitslücken waren mit einem unsicheren E-Mail-Verifizierungsmechanismus verbunden, der zur Authentifizierung von Entwicklern einzelner Pods (Bibliotheken) verwendet wurde. Ein Angreifer könnte beispielsweise die URL in einem Verifizierungslink manipulieren, um auf einen bösartigen Server zu verweisen. Das CocoaPods-Team hat bereits Maßnahmen ergriffen, um sicherzustellen, dass die Sicherheitslücken behoben werden.
Nachdem die EVA-Forscher die CocoaPods-Entwickler privat über die Sicherheitslücke informiert hatten, löschten diese alle Sitzungsschlüssel, um sicherzustellen, dass niemand auf die Konten zugreifen konnte, ohne zuerst die Kontrolle über die registrierte E-Mail-Adresse zu haben.
Die CocoaPods-Wartungscrew hat außerdem ein neues Verfahren zur Wiederherstellung alter verwaister Pods eingeführt, das den direkten Kontakt mit den Wartungscrews erfordert. Ein Autor müsste das Unternehmen kontaktieren, um eine dieser Abhängigkeiten zu übernehmen.
Dies ist nicht das erste Mal, dass CocoaPods von Angreifern ins Visier genommen wurde. Im Jahr 2021 bestätigten die Projektbetreuer ein Sicherheitsproblem, das es ermöglichte, dass CocoaPods-Repositories beliebigen Code auf den Servern ausführen konnten, die sie verwalten. Dies könnte verwendet werden, um vorhandene Pakete durch bösartige Versionen zu ersetzen, deren Code letztendlich in iOS- und Mac-Apps eingefügt werden könnte.
Die EVA-Forscher raten Entwicklern, die CocoaPods in ihren Apps verwenden, immer die CocoaPods-Abhängigkeiten zu überprüfen und Sicherheitsscans durchzuführen, um bösartigen Code in allen externen Bibliotheken zu erkennen.
Quelle: 9To5Mac
Apple-Fans und Technik-Begeisterte: Neues zu Apples kommendem iPhone 17 Air hat die Runde gemacht. In einem kürzlich veröffentlichten Beitrag auf…
Apple hat kürzlich bedeutende Änderungen bei den Preis- und Steuerregelungen für den App Store angekündigt. Diese betreffen vor allem Entwickler:innen…
Zum 20-jährigen Jubiläum des iPhones im Jahr 2027 plant Apple eine umfassende Neugestaltung. Ziel ist ein Gerät mit durchgehender Glasoberfläche…
Apple hat bekannt gegeben, dass der erfahrene Schauspieler Michael J. Fox in der dritten Staffel der Comedy-Serie "Shrinking" auf Apple…
Epic Games hat einen rechtlichen Schritt gegen Apple unternommen. Dabei forderte das Unternehmen einen U.S. Bundesrichter auf, Apple zur Wiederaufnahme…
Epic Games CEO Tim Sweeney äußert sich zur aktuellen Situation rund um Fortnites Rückkehr in den Apple App Store. Sweeney…
Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.
Mehr lesen