Nuovi bug open source lasciano migliaia di app iOS vulnerabili al dirottamento

Una serie di vulnerabilità recentemente scoperte in un’utilità software open source ampiamente utilizzata potrebbe comportare grossi problemi per gran parte degli ecosistemi iOS e MacOS. Secondo una ricerca sulla sicurezza associata , i bug in questione potrebbero avere un impatto su migliaia di app ampiamente utilizzate, inclusi programmi popolari come TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger e molti altri . Sebbene i componenti open source stessi siano stati aggiornati con patch, i team DevOps per le app interessate si stanno sicuramente adoperando per garantire che i loro sistemi siano adeguatamente aggiornati per proteggere gli utenti da potenziali sfruttamenti.

Le vulnerabilità sono state scoperte in Cocoapods , un gestore delle dipendenze ampiamente utilizzato per progetti software codificati nei linguaggi di programmazione Swift e Objective-C. I gestori delle dipendenze sono strumenti vitali nel processo di sviluppo software, poiché consentono la convalida e la firma crittografica dei pacchetti software. La corruzione di uno strumento del genere ha ovviamente grandi (e cattive) implicazioni per gran parte del web.

I bug Cocoapods sono stati scoperti dai ricercatori di EVA Information Security, una società di sicurezza informatica e pentesting. I bug sono il risultato di una migrazione imperfetta del server Cocoapods avvenuta nel 2014, che ha reso “orfani” migliaia di pacchetti software. A causa delle carenze di sicurezza del sistema, tali pacchetti avrebbero potuto essere facilmente sequestrati da un malintenzionato e (ipoteticamente) utilizzati per commettere attacchi alla catena di fornitura che potrebbero introdurre aggiornamenti di codice dannoso ai progetti software aziendali che si basano su di essi. I ricercatori analizzano la situazione in questo modo:

Un processo di migrazione del 2014 ha lasciato migliaia di pacchetti orfani (di cui il proprietario originale è sconosciuto), molti dei quali sono ancora ampiamente utilizzati in altre librerie. Utilizzando un'API pubblica e un indirizzo e-mail disponibile nel codice sorgente di CocoaPods, un utente malintenzionato potrebbe rivendicare la proprietà su uno qualsiasi di questi pacchetti, consentendo quindi all'utente malintenzionato di sostituire il codice sorgente originale con il proprio codice dannoso...Le vulnerabilità che abbiamo scoperto potrebbe essere utilizzato per controllare il gestore delle dipendenze stesso e qualsiasi pacchetto pubblicato. Le dipendenze a valle potrebbero significare che migliaia di applicazioni e milioni di dispositivi sono stati esposti negli ultimi anni.

Da allora tutti e tre i bug sono stati corretti, ma la loro gravità, e il fatto che siano rimasti esposti per ben nove anni, sta sicuramente tenendo svegli di notte molti team di software. Il motivo per cui Apple è al centro di questo pasticcio è che molte app iOS e MacOS sono codificate utilizzando sia il linguaggio Swift che Objective-C , rendendole particolarmente suscettibili ai problemi in gioco. I ricercatori scrivono che i bug potrebbero avere un impatto su “migliaia” o “milioni” di app e che un “attacco all’ecosistema delle app mobili potrebbe infettare quasi tutti i dispositivi Apple, lasciando migliaia di organizzazioni vulnerabili a danni finanziari e reputazionali catastrofici”.

I ricercatori affermano di non aver ancora visto alcuna prova che suggerisca che le app siano state effettivamente compromesse. Tuttavia, se alcuni lo fossero, ciò potrebbe ovviamente comportare grossi problemi per gli utenti. I ricercatori notano che poiché molte app possono "accedere alle informazioni più sensibili di un utente: dettagli della carta di credito, cartelle cliniche, materiali privati", un criminale informatico potrebbe iniettare codice nelle app tramite i pod compromessi, consentendo loro di "accedere a queste informazioni per quasi qualsiasi tipo di dannoso". scopo immaginabile: ransomware, frode, ricatto, spionaggio aziendale."

I ricercatori hanno esortato gli sviluppatori aziendali a rivedere i loro prodotti e a "verificare l'integrità delle dipendenze open source utilizzate nel codice della loro applicazione", garantendo così che i loro sistemi e i loro clienti non siano esposti.

Le carenze di sicurezza che possono verificarsi nei software open source sono ben note. L’industria del software commerciale fa affidamento su FOSS per costruire i suoi prodotti commerciali, ma viene dedicato poco tempo a sostenere e proteggere l’ecosistema del software libero su cui è costruita l’intera Internet. I risultati finali, prevedibilmente, non sono buoni.

Gizmodo ha contattato Apple per un commento e aggiornerà questa storia se risponde.