Nowe błędy oprogramowania Open Source sprawiają, że tysiące aplikacji na iOS jest podatnych na przechwycenie

Szereg nowo odkrytych luk w powszechnie używanym oprogramowaniu open source może oznaczać poważne problemy dla dużej części ekosystemów iOS i MacOS. Jak wynika z powiązanych badań bezpieczeństwa , omawiane błędy mogą mieć wpływ na tysiące powszechnie używanych aplikacji, w tym popularne programy, takie jak TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger i wiele innych . Chociaż same komponenty open source zostały załatane, zespoły DevOps zajmujące się aplikacjami, których dotyczy problem, z pewnością starają się zapewnić odpowiednią aktualizację swoich systemów, aby chronić użytkowników przed potencjalnym wykorzystaniem.

Luki wykryto w Cocoapods , menedżerze zależności szeroko stosowanym w projektach oprogramowania napisanych w językach programowania Swift i Objective-C. Menedżery zależności są niezbędnymi narzędziami w procesie tworzenia oprogramowania, pozwalającymi na walidację i kryptograficzne podpisywanie pakietów oprogramowania. Uszkodzenie takiego narzędzia ma oczywiście poważne (i złe) konsekwencje dla dużych części sieci.

Błędy Cocoapods zostały odkryte przez badaczy z EVA Information Security, firmy zajmującej się cyberbezpieczeństwem i pentestingiem. Błędy są wynikiem niedoskonałej migracji serwerów Cocoapods, która miała miejsce w 2014 roku i która spowodowała „osierocenie” tysięcy pakietów oprogramowania. Ze względu na luki w zabezpieczeniach systemu pakiety te mogły łatwo zostać przejęte przez złą osobę i (hipotetycznie) wykorzystane do przeprowadzenia ataków na łańcuch dostaw, które mogłyby wprowadzić aktualizacje złośliwego kodu do opierających się na nich projektów oprogramowania korporacyjnego. Badacze przedstawiają tę sytuację w następujący sposób:

Proces migracji w 2014 r. pozostawił tysiące osieroconych pakietów (których pierwotny właściciel jest nieznany), z których wiele jest nadal szeroko używanych w innych bibliotekach. Korzystając z publicznego interfejsu API i adresu e-mail dostępnego w kodzie źródłowym CocoaPods, osoba atakująca może przejąć własność dowolnego z tych pakietów, co następnie umożliwi mu zastąpienie oryginalnego kodu źródłowego własnym złośliwym kodem... Luki odkryliśmy, że można go wykorzystać do kontrolowania samego menedżera zależności i dowolnego opublikowanego pakietu. Zależności dalszych elementów mogą oznaczać, że w ciągu ostatnich kilku lat tysiące aplikacji i miliony urządzeń zostały narażone.

Wszystkie trzy błędy zostały już załatane, ale ich powaga oraz fakt, że były ujawniane aż przez dziewięć lat, z pewnością nie pozwalają spać wielu programistom. Powodem, dla którego Apple znajduje się na czele i w centrum tego bałaganu, jest to, że wiele aplikacji na iOS i MacOS jest kodowanych przy użyciu języków Swift i Objective-C , co czyni je szczególnie podatnymi na występujące problemy. Badacze piszą, że błędy mogą mieć wpływ na „tysiące” lub „miliony” aplikacji oraz że „atak na ekosystem aplikacji mobilnych może zainfekować prawie każde urządzenie Apple, narażając tysiące organizacji na katastrofalne szkody finansowe i reputacyjne”.

Badacze twierdzą, że nie widzieli jeszcze żadnych dowodów sugerujących, że aplikacje zostały faktycznie naruszone. Jeśli jednak tak się stanie, może to oczywiście oznaczać poważne problemy dla użytkowników. Badacze zauważają, że ponieważ wiele aplikacji może „uzyskać dostęp do najbardziej wrażliwych informacji użytkownika: danych karty kredytowej, dokumentacji medycznej, materiałów prywatnych”, cyberprzestępca może wstrzyknąć do aplikacji kod za pośrednictwem zainfekowanych kapsuł, umożliwiając im „dostęp do tych informacji w przypadku niemal każdego złośliwego oprogramowania” możliwym celu – oprogramowanie ransomware, oszustwo, szantaż, szpiegostwo korporacyjne”.

Badacze nawołują programistów korporacyjnych do przeglądu swoich produktów i „zweryfikowania integralności zależności open source używanych w kodzie aplikacji”, zapewniając w ten sposób bezpieczeństwo ich systemów i klientów.

Luki w zabezpieczeniach, które mogą pojawić się w oprogramowaniu typu open source, są dobrze znane. Branża oprogramowania komercyjnego polega na firmie FOSS przy tworzeniu swoich komercyjnych produktów, ale niewiele czasu poświęca się na wzmacnianie i zabezpieczanie ekosystemu wolnego oprogramowania, na którym zbudowany jest cały Internet. Wyniki końcowe, jak można było przewidzieć, nie są dobre.

Gizmodo skontaktował się z firmą Apple w celu uzyskania komentarza i zaktualizuje tę historię, jeśli otrzyma odpowiedź.