Новые ошибки с открытым исходным кодом делают тысячи приложений iOS уязвимыми для взлома

Серия недавно обнаруженных уязвимостей в широко используемой программной утилите с открытым исходным кодом может создать большие проблемы для значительной части экосистем iOS и MacOS. Согласно соответствующим исследованиям безопасности , рассматриваемые ошибки могут повлиять на тысячи широко используемых приложений, включая популярные программы, такие как TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger и многие другие . Хотя сами компоненты с открытым исходным кодом были исправлены, команды DevOps, работающие над затронутыми приложениями, наверняка стараются обеспечить правильное обновление своих систем, чтобы защитить пользователей от потенциальной эксплуатации.

Уязвимости были обнаружены в Cocoapods , менеджере зависимостей, широко используемом для программных проектов, написанных на языках программирования Swift и Objective-C. Менеджеры зависимостей — жизненно важные инструменты в процессе разработки программного обеспечения, позволяющие проверять и криптографически подписывать пакеты программного обеспечения. Повреждение такого инструмента, очевидно, будет иметь большие (и плохие) последствия для значительной части сети.

Ошибки Cocoapods были обнаружены исследователями EVA Information Security, фирмы, занимающейся кибербезопасностью и тестированием на проникновение. Ошибки являются результатом несовершенной миграции серверов Cocoapods, произошедшей еще в 2014 году, в результате которой «осиротели» тысячи программных пакетов. Из-за недостатков безопасности в системе эти пакеты могли легко быть захвачены злоумышленником и (гипотетически) использованы для совершения атак на цепочку поставок, которые могли бы привести к внедрению вредоносных обновлений кода в проекты корпоративного программного обеспечения, которые на них полагаются. Исследователи описывают ситуацию следующим образом:

В результате миграции 2014 года остались тысячи пакетов (первоначальный владелец которых неизвестен), многие из которых до сих пор широко используются в других библиотеках. Используя общедоступный API и адрес электронной почты, который был доступен в исходном коде CocoaPods, злоумышленник мог заявить права владения любым из этих пакетов, что затем позволило бы злоумышленнику заменить исходный исходный код своим собственным вредоносным кодом... Уязвимости мы обнаружили, что его можно использовать для управления самим менеджером зависимостей и любым опубликованным пакетом. Нижестоящие зависимости могут означать, что за последние несколько лет были уязвимы тысячи приложений и миллионы устройств.

Все три ошибки с тех пор были исправлены, но их серьезность и тот факт, что они оставались открытыми в течение целых девяти лет, наверняка не дают спать по ночам многим командам разработчиков программного обеспечения. Причина, по которой Apple находится в центре этого беспорядка, заключается в том, что многие приложения для iOS и MacOS написаны с использованием языков Swift и Objective-C , что делает их особенно восприимчивыми к возникающим проблемам. Исследователи пишут, что ошибки могут затронуть либо «тысячи», либо «миллионы» приложений и что «атака на экосистему мобильных приложений может заразить почти каждое устройство Apple, в результате чего тысячи организаций будут уязвимы для катастрофического финансового и репутационного ущерба».

Исследователи говорят, что пока не видели никаких доказательств того, что приложения действительно были взломаны. Однако, если бы они были, это, очевидно, могло бы создать серьезные проблемы для пользователей. Исследователи отмечают, что, поскольку многие приложения могут «получить доступ к наиболее конфиденциальной информации пользователя: данным кредитной карты, медицинским записям, личным материалам», киберпреступник может внедрить код в приложения через взломанные модули, что позволит им «получить доступ к этой информации практически для любого злоумышленника». мыслимая цель — программы-вымогатели, мошенничество, шантаж, корпоративный шпионаж».

Исследователи призвали корпоративных разработчиков проверять свои продукты и «проверять целостность зависимостей с открытым исходным кодом, используемых в коде их приложений», тем самым гарантируя, что их системы и их клиенты не будут подвергаться риску.

Недостатки безопасности , которые могут возникнуть в программном обеспечении с открытым исходным кодом, хорошо известны. Индустрия коммерческого программного обеспечения полагается на FOSS при создании своих коммерческих продуктов, но мало времени тратится на укрепление и защиту экосистемы свободного программного обеспечения, из которой построен весь Интернет. Конечные результаты, как и ожидалось, не очень хорошие.

Gizmodo обратился к Apple за комментариями и обновит эту историю, если ответит.