Nuevos errores de código abierto dejan miles de aplicaciones de iOS vulnerables al secuestro

Una serie de vulnerabilidades recientemente descubiertas en una utilidad de software de código abierto ampliamente utilizada podría significar grandes problemas para gran parte de los ecosistemas iOS y MacOS. Los errores en cuestión podrían afectar a miles de aplicaciones ampliamente utilizadas, incluidos programas populares como TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger y muchos otros, según una investigación de seguridad asociada . Si bien los propios componentes de código abierto han sido parcheados, los equipos de DevOps de las aplicaciones afectadas seguramente están luchando para garantizar que sus sistemas estén actualizados adecuadamente para proteger a los usuarios de una posible explotación.

Las vulnerabilidades fueron descubiertas en Cocoapods , un administrador de dependencias ampliamente utilizado para proyectos de software codificados en los lenguajes de programación Swift y Objective-C. Los administradores de dependencias son herramientas vitales en el proceso de desarrollo de software, ya que permiten la validación y firma criptográfica de paquetes de software. La corrupción de una herramienta de este tipo obviamente tiene implicaciones grandes (y malas) para gran parte de la web.

Los errores de Cocoapods fueron descubiertos por investigadores de EVA Information Security, una empresa de ciberseguridad y pentesting. Los errores son el resultado de una migración imperfecta del servidor Cocoapods que tuvo lugar en 2014, y que dejó huérfanos a miles de paquetes de software. Debido a las deficiencias de seguridad en el sistema, esos paquetes podrían haber sido fácilmente requisados ​​por un mal actor y (hipotéticamente) utilizados para cometer ataques a la cadena de suministro que podrían introducir actualizaciones de código malicioso en los proyectos de software corporativo que dependen de ellos. Los investigadores desglosan la situación así:

Un proceso de migración de 2014 dejó miles de paquetes huérfanos (donde se desconoce el propietario original), muchos de los cuales todavía se utilizan ampliamente en otras bibliotecas. Usando una API pública y una dirección de correo electrónico que estaba disponible en el código fuente de CocoaPods, un atacante podría reclamar la propiedad de cualquiera de estos paquetes, lo que luego le permitiría reemplazar el código fuente original con su propio código malicioso... Las vulnerabilidades descubrimos que podría usarse para controlar el administrador de dependencias y cualquier paquete publicado. Las dependencias posteriores podrían significar que miles de aplicaciones y millones de dispositivos quedaron expuestos en los últimos años.

Desde entonces, los tres errores han sido corregidos, pero su gravedad y el hecho de que estuvieron expuestos durante nueve años seguramente mantiene despiertos a muchos equipos de software. La razón por la que Apple está al frente y al centro de este lío es que muchas aplicaciones de iOS y MacOS están codificadas usando lenguajes Swift y Objective-C , lo que las hace particularmente susceptibles a los problemas en juego. Los investigadores escriben que los errores podrían afectar a “miles” o “millones” de aplicaciones, y que un “ataque al ecosistema de aplicaciones móviles podría infectar casi todos los dispositivos Apple, dejando a miles de organizaciones vulnerables a daños financieros y de reputación catastróficos”.

Los investigadores dicen que aún no han visto ninguna evidencia que sugiera que las aplicaciones realmente hayan sido comprometidas. Sin embargo, si algunos lo fueran, obviamente podría significar grandes problemas para los usuarios. Los investigadores señalan que debido a que muchas aplicaciones pueden "acceder a la información más confidencial de un usuario: detalles de tarjetas de crédito, registros médicos, materiales privados", un ciberdelincuente podría inyectar código en las aplicaciones a través de los pods comprometidos, permitiéndoles "acceder a esta información para casi cualquier uso malicioso". propósito imaginable: ransomware, fraude, chantaje, espionaje corporativo”.

Los investigadores han instado a los desarrolladores corporativos a revisar sus productos y "verificar la integridad de las dependencias de código abierto utilizadas en el código de su aplicación", asegurando así que sus sistemas y sus clientes no queden expuestos.

Las deficiencias de seguridad que pueden surgir en el software de código abierto son de sobra conocidas. La industria del software comercial depende del software libre para crear sus productos comerciales, pero se dedica poco tiempo a apuntalar y proteger el ecosistema de software libre sobre el que se construye Internet. Los resultados finales, como era de esperar, no son buenos.

Gizmodo contactó a Apple para hacer comentarios y actualizará esta historia si responde.