Lug 04, 2024 In evidenza, News, RSS, Tecnologia, Vulnerabilità
Migliaia di dispositivi Apple sono vulnerabili ad attacchi supply chain a causa di alcune debolezze in CocoaPods: lo hanno scoperto i ricercatori di E.V.A. Information Security, i quali hanno evidenziato che le organizzazioni rischiano danni finanziari e reputazionali a causa di questi attacchi.
CocoaPods è un dependency manager open source per Swift e i progetti in Objective C. Il gestore si occupa di scaricare le librerie di cui hanno bisogno gli sviluppatori e verificarne l’integrità.
L’ecosistema però, a quanto pare, soffre di diverse vulnerabilità: il team di E.V.A. Information Security spiega che nel 2014 si è verificato un processo di migrazione dei pacchetti che ha lasciato però migliaia di essi “orfani”, senza un owner che li reclamasse, e molti di questi sono ancora ampiamente usati in altre librerie. Usando un’API pubblica e un indirizzo email trovati nel codice sorgente di CocoaPods, un attaccante può reclamare uno o più di questi pacchetti come suo e rimpiazzarne il codice sorgente con un payload malevolo.
Il team ha scoperto anche che il flusso di verifica di email è insicuro e può essere sfruttato per eseguire codice arbitrario sul server “Trunk” dell’ecosistema, consentendo a un attaccante di manipolare o rimpiazzare i pacchetti che vengono scaricati. Sono inoltre presenti delle configurazioni errate nei tool di sicurezza per l’email che permetterebbero a un attaccante di eseguire lo spoofing di un header HTTP ed eseguire un attacco zero-click per ottenere il token di verifica dell’account dello sviluppatore.
Infine, una quarta vulnerabilità consentirebbe a un attaccante di accedere al server Trunk di CocoaPods ed eseguire numerosi exploit di varia natura.
CocoaPods è molto popolare tra gli sviluppatori e molte delle librerie “orfane” sono presenti come dipendenze in progetti di grandi compagnie come Google, GitHub, Amazon, Dropbox e molte altre.
Secondo la stima dei ricercatori di E.V.A. Information Security, migliaia di dispositivi Apple sono vulnerabili ad attacchi supply chain e zero-click, ma il numero potrebbe arrivare anche a milioni di applicazioni. “Come con molti altri attacchi supply chain, le dipendenze opache nel codice closed-source rendono quasi impossibile capire il potenziale danno” spiegano i ricercatori.
Se è vero che molte applicazioni non accedono alle informazioni sensibili degli utenti, la possibilità di iniettare codice malevolo nelle app tramite le librerie senza owner permetterebbe agli attaccanti sostanzialmente di prendere il controllo del dispositivo e attaccare le vittime con ransomware, truffe e campagne di spionaggio nel caso di dispositivi aziendali.
È fondamentale che gli sviluppatori effettuino una review delle librerie in uso e validino i checksum dei pacchetti di terze parti; inoltre, è consigliabile effettuare delle scansioni periodiche delle librerie per individuare codice malevolo o modifiche sospette, e in generale limitare l’uso di pacchetti “orfani” o non più mantenuti.