Neue Open-Source-Fehler machen Tausende iOS-Apps anfällig für Hijacking

Eine Reihe neu entdeckter Schwachstellen in einem weit verbreiteten Open-Source-Software-Dienstprogramm könnte große Probleme für große Teile der iOS- und MacOS-Ökosysteme bedeuten. Die fraglichen Fehler könnten laut zugehöriger Sicherheitsforschung Tausende weit verbreiteter Apps betreffen, darunter beliebte Programme wie TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger und viele andere . Während die Open-Source-Komponenten selbst gepatcht wurden, bemühen sich die DevOps-Teams für die betroffenen Apps sicherlich darum, sicherzustellen, dass ihre Systeme ordnungsgemäß aktualisiert werden, um die Benutzer vor potenzieller Ausnutzung zu schützen.

Die Schwachstellen wurden in Cocoapods entdeckt , einem Abhängigkeitsmanager, der häufig für Softwareprojekte verwendet wird, die in den Programmiersprachen Swift und Objective-C codiert sind. Abhängigkeitsmanager sind wichtige Tools im Softwareentwicklungsprozess, da sie die Validierung und kryptografische Signierung von Softwarepaketen ermöglichen. Die Beschädigung eines solchen Tools hat offensichtlich große (und schlimme) Auswirkungen auf weite Teile des Webs.

Die Cocoapods-Bugs wurden von Forschern von EVA Information Security entdeckt, einem Unternehmen für Cybersicherheit und Pentests. Die Bugs sind das Ergebnis einer nicht perfekten Cocoapods-Servermigration, die 2014 stattfand und bei der Tausende von Softwarepaketen „verwaist“ wurden. Aufgrund der Sicherheitsmängel im System hätten diese Pakete leicht von einem böswilligen Akteur übernommen und (hypothetisch) für Supply-Chain-Angriffe verwendet werden können, die bösartige Code-Updates in die Unternehmenssoftwareprojekte einbringen könnten, die auf sie angewiesen sind. Die Forscher beschreiben die Situation folgendermaßen:

Ein Migrationsprozess im Jahr 2014 hinterließ Tausende verwaister Pakete (bei denen der ursprüngliche Besitzer unbekannt ist), von denen viele noch immer in anderen Bibliotheken verwendet werden. Mithilfe einer öffentlichen API und einer E-Mail-Adresse, die im CocoaPods-Quellcode verfügbar war, könnte ein Angreifer den Besitzanspruch auf jedes dieser Pakete geltend machen, was es dem Angreifer dann ermöglichen würde, den ursprünglichen Quellcode durch seinen eigenen Schadcode zu ersetzen... Die von uns entdeckten Schwachstellen könnten verwendet werden, um den Abhängigkeitsmanager selbst und jedes veröffentlichte Paket zu steuern. Downstream-Abhängigkeiten könnten bedeuten, dass in den letzten Jahren Tausende von Anwendungen und Millionen von Geräten offengelegt wurden.

Alle drei Bugs wurden inzwischen behoben, aber ihre Schwere und die Tatsache, dass sie bis zu neun Jahre lang ungeschützt blieben, bereitet vielen Softwareteams sicherlich schlaflose Nächte. Der Grund, warum Apple im Mittelpunkt dieses Schlamassels steht, ist, dass viele iOS- und MacOS-Apps sowohl in Swift als auch in Objective-C codiert sind , was sie besonders anfällig für die Probleme macht. Forscher schreiben, dass die Bugs entweder „Tausende“ oder „Millionen“ von Apps betreffen könnten und dass ein „Angriff auf das Ökosystem mobiler Apps fast jedes Apple-Gerät infizieren könnte, wodurch Tausende von Organisationen katastrophalen finanziellen Schäden und Reputationsschäden ausgesetzt wären.“

Die Forscher sagen, sie hätten bisher keine Beweise dafür gesehen, dass Apps tatsächlich kompromittiert wurden. Sollte es jedoch zu solchen kommen, könnte das natürlich große Probleme für die Benutzer bedeuten. Die Forscher weisen darauf hin, dass viele Apps „auf die sensibelsten Informationen eines Benutzers zugreifen können: Kreditkartendaten, Krankenakten, private Materialien“, sodass ein Cyberkrimineller über die kompromittierten Pods Code in die Apps einschleusen könnte, der es ihm ermöglicht, „auf diese Informationen zuzugreifen und sie für fast jeden erdenklichen böswilligen Zweck zu nutzen – Ransomware, Betrug, Erpressung, Wirtschaftsspionage.“

Forscher haben Unternehmensentwickler aufgefordert, ihre Produkte zu überprüfen und „die Integrität der in ihrem Anwendungscode verwendeten Open-Source-Abhängigkeiten zu verifizieren“ und so sicherzustellen, dass ihre Systeme und ihre Kunden nicht gefährdet werden.

Die Sicherheitsmängel, die bei Open-Source-Software auftreten können, sind bekannt. Die kommerzielle Softwareindustrie verlässt sich bei der Entwicklung ihrer kommerziellen Produkte auf FOSS, aber es wird wenig Zeit darauf verwendet, das Ökosystem der freien Software, auf dem das gesamte Internet aufbaut, zu stärken und zu sichern. Die Endergebnisse sind, wie vorherzusehen war, nicht gut.

Gizmodo hat Apple um einen Kommentar gebeten und wird diese Geschichte aktualisieren, wenn es eine Antwort gibt.