Especialistas alertaram que uma ferramenta essencial usada principalmente no desenvolvimento de aplicativos para iOS e macOS estava vulnerável de uma forma que expôs milhões de aplicativos para Mac a ataques na cadeia de suprimentos.
Os pesquisadores de segurança cibernética da EVA Information Security afirmam que um gerenciador de dependências para projetos Swift e Objective-C chamado CocoaPods carregava três vulnerabilidades em um servidor “tronco” usado para gerenciar CocoaPods.
Uma das vulnerabilidades reside no mecanismo de e-mail de verificação que a plataforma usa para autenticar desenvolvedores de pods. Para obter acesso a uma conta, o desenvolvedor digitaria seu endereço de e-mail associado ao pod e, em seguida, receberia um link enviado para seu e-mail. No entanto, a URL no link poderia ser alterada para redirecionar o desenvolvedor para um servidor sob o controle dos invasores.
Milhões de pessoas em risco
A segunda vulnerabilidade permitiu que os agentes de ameaças assumissem pods abandonados pelos desenvolvedores – mas ainda usados em aplicativos. A terceira vulnerabilidade concede aos invasores a capacidade de executar código no servidor trunk.
Como cerca de 3 milhões de aplicativos móveis estão usando cerca de 100.000 bibliotecas encontradas na plataforma, a superfície de ataque é bem grande. Para piorar a situação, uma vez que a biblioteca é alterada, os aplicativos que a usam a atualizariam automaticamente, sem interação do usuário final.
“Muitos aplicativos podem acessar as informações mais sensíveis de um usuário: detalhes de cartão de crédito, registros médicos, materiais privados e muito mais”, disseram os pesquisadores em seu artigo. “Injetar código nesses aplicativos pode permitir que invasores acessem essas informações para quase qualquer propósito malicioso imaginável — ransomware , fraude, chantagem, espionagem corporativa… No processo, isso pode expor as empresas a grandes responsabilidades legais e risco de reputação.”
As vulnerabilidades foram divulgadas e corrigidas em outubro de 2023 – e, na época, não havia evidências de abuso in-the-wild. Hoje, os desenvolvedores e usuários de aplicativos não são obrigados a fazer nada para proteger suas instalações.