Novos bugs de código aberto deixam milhares de aplicativos iOS vulneráveis ao sequestro
Uma série de vulnerabilidades recém-descobertas em um utilitário de software de código aberto amplamente utilizado pode significar grandes problemas para grande parte dos ecossistemas iOS e MacOS. Os bugs em questão podem afetar milhares de aplicativos amplamente usados, incluindo programas populares como TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger e muitos outros, de acordo com pesquisas de segurança associadas . Embora os próprios componentes de código aberto tenham sido corrigidos, as equipes de DevOps para aplicativos afetados certamente estão se esforçando para garantir que seus sistemas sejam atualizados adequadamente para proteger os usuários de exploração potencial.
Leitura sugerida
Leitura sugerida
As vulnerabilidades foram descobertas no Cocoapods , um gerenciador de dependências amplamente utilizado para projetos de software codificados nas linguagens de programação Swift e Objective-C. Os gerenciadores de dependências são ferramentas vitais no processo de desenvolvimento de software, permitindo a validação e assinatura criptográfica de pacotes de software. A corrupção de tal ferramenta obviamente tem grandes (e ruins) implicações para grandes partes da web.
Conteúdo Relacionado
Conteúdo Relacionado
Os bugs do Cocoapods foram descobertos por pesquisadores da EVA Information Security, uma empresa de segurança cibernética e pentesting. Os bugs são o resultado de uma migração imperfeita do servidor Cocoapods que ocorreu em 2014, que deixou milhares de pacotes de software “órfãos”. Devido às deficiências de segurança no sistema, esses pacotes poderiam ter sido facilmente confiscados por um malfeitor e (hipoteticamente) usados para cometer ataques à cadeia de suprimentos que poderiam introduzir atualizações de códigos maliciosos nos projetos de software corporativos que dependem deles. Os pesquisadores dividem a situação assim:
Um processo de migração em 2014 deixou milhares de pacotes órfãos (onde o proprietário original é desconhecido), muitos dos quais ainda são amplamente utilizados em outras bibliotecas. Usando uma API pública e um endereço de e-mail que estava disponível no código-fonte do CocoaPods, um invasor poderia reivindicar a propriedade de qualquer um desses pacotes, o que permitiria ao invasor substituir o código-fonte original por seu próprio código malicioso... As vulnerabilidades descobrimos que poderia ser usado para controlar o próprio gerenciador de dependências e qualquer pacote publicado. As dependências downstream podem significar que milhares de aplicativos e milhões de dispositivos foram expostos nos últimos anos.
Todos os três bugs já foram corrigidos, mas sua gravidade e o fato de terem ficado expostos por até nove anos certamente mantêm muitas equipes de software acordadas à noite. A razão pela qual a Apple está no centro dessa bagunça é que muitos aplicativos iOS e MacOS são codificados usando linguagens Swift e Objective-C , tornando-os particularmente suscetíveis aos problemas em jogo. Os pesquisadores escrevem que os bugs podem afetar “milhares” ou “milhões” de aplicativos, e que um “ataque ao ecossistema de aplicativos móveis pode infectar quase todos os dispositivos Apple, deixando milhares de organizações vulneráveis a danos financeiros e de reputação catastróficos”.
Os pesquisadores dizem que ainda não viram nenhuma evidência que sugira que os aplicativos foram realmente comprometidos. No entanto, se alguns fossem, obviamente poderia significar grandes problemas para os usuários. Os pesquisadores observam que, como muitos aplicativos podem “acessar as informações mais confidenciais de um usuário: detalhes de cartão de crédito, registros médicos, materiais privados”, um cibercriminoso poderia injetar código nos aplicativos por meio dos pods comprometidos, permitindo-lhes “acessar essas informações para quase qualquer ataque malicioso”. propósito imaginável – ransomware, fraude, chantagem, espionagem corporativa.”
Os investigadores instaram os programadores empresariais a rever os seus produtos e “verificar a integridade das dependências de código aberto utilizadas no código das suas aplicações”, garantindo assim que os seus sistemas e os seus clientes não sejam expostos.
As deficiências de segurança que podem surgir no software de código aberto são bem conhecidas. A indústria de software comercial depende do software livre para construir seus produtos comerciais, mas pouco tempo é gasto para fortalecer e proteger o ecossistema de software livre a partir do qual toda a Internet é construída. Os resultados finais, previsivelmente, não são bons.
O Gizmodo entrou em contato com a Apple para comentar e atualizará esta história se responder.
