Milioni di app per iPhone e Mac sono a rischio sicurezza. Per dieci anni

Capita spesso di riportare di cadere o di insetto che comportamento rischioso per la sicurezza degli utenti di vari sistemi operativi, ma questo potrebbe essere uno dei più gravi per quanto riguarda il mondo Mela (a proposito, sapete la differenza tra antivirus e antimalware(per esempio: ?).

Una ricerca della società di sicurezza Sicurezza delle informazioni EVAun gruppo che oggi collabora con aziende nel settore finanziario, bancario, dell'e-commerce, assicurativo, dei giochi online e di molti altri, ha infatti scoperto che una vulnerabilità del repository Baccelli di cacao ha esposto per dieci anni circa 3 milioni di app iOS e macOS e un potenziale attacco.

Per chi non lo sapesse, Baccelli di cacao è uno deposito open source utilizzato da molte app sviluppate per le piattaforme Apple. In pratica acconsentono agli sviluppatori di app di integrare il codice di terze parti nella loro app attraverso librerie open source. Quando una libreria (chiamata in gergo baccello) viene aggiornata, le app che la utilizzano vengono aggiornate automaticamente senza alcuna interazione da parte dello sviluppatore.

Un esempio di app che utilizza CocoaPod è Segnale, una popolarissima app di messaggistica che fa del suo cavallo una battaglia contro la privacy e la sicurezza, ma sono circa 3 milioni le app per iOS, macOS, watchOS e tvOS che usano.

Ora gli esperti di Sicurezza delle informazioni EVA hanno scoperto tre vulnerabilità in CocoaPods, risalenti a 10 anni fa, legate a un meccanismo di verifica email non sicuro da utilizzare per autenticare gli sviluppatori di singoli pod.

Il meccanismo funziona così: per accedere al pod, uno sviluppatore deve inserire l'indirizzo email associato al suo pod, poi il server risponde inviando un collegamento all'indirizzo. Quando lo sviluppatore clicca sul link, avrà accesso all'account.

In un caso (CVE-2024-38367), un utente malintenzionato avrebbe potuto manipolare l'URL nel link per farlo puntare a un server sotto il controllo dell'abbonato.

In un altro esempio (CVE-2024-38368) eventuali malintenzionati potevano prendere il controllo di pod abbandonati dai loro sviluppatori, ma che continuano a essere utilizzati dalle app.

I malintenzionati potevano accedervi senza dover provare ad averne diritto.

Nel terzo caso (CVE-2024-38366), eventuali aggressori potevano eseguire il codice malevolo direttamente sul server che invia il link di accesso agli sviluppatori.

“Essere in grado di eseguire comandi di shell arbitrari sul server ha dato a un possibile utente malintenzionato la possibilità di leggere le variabili di ambiente, che potrebbero essere utilizzate per scrivere nel repository CocoaPods/Specs e leggere il database del server“, ha spiegato il manutentore di CocoaPods Orta Therox.

“Essere in grado di ingannare le persone facendo clic su un collegamento che porterebbe a un sito di terze parti che potrebbe essere utilizzato per rubare le loro chiavi di sessione. Non posso garantire che nessuno di questi accada, e preferirei essere al sicuro“, ha continuato.

Terox ha affermato che lo scenario peggiore è un utente malintenzionato che ha utilizzato la tecnica per ottenere chiavi di sessione che danneggiano l'accesso agli account degli sviluppatori dell'app e collegano gli utenti autenticati al pod.

Chiariamolo subito: vulnerabilità sono stati già corretti. Dopo che i ricercatori EVA hanno notificato privatamente agli sviluppatori di CocoaPods delle vulnerabilità, a ottobre 2023 il team CocoaPods ha già preso provvedimenti per garantire che gli exploit siano corretti.

Tra i provvedimenti, sono stati annullare tutte le chiavi di sessione per garantire che nessuno poter accedere agli account senza prima avere il controllo dell'indirizzo email registrato.

Inoltre è stata aggiunta una nuova procedura per il recupero di vecchi poveracci abbandonati che richiede contattare Diorettamente i manutentori. Ora uno sviluppatore dovrebbe contattare direttamente CocoaPods per assumersi una di queste dipendenze.

Il rischio però è grande. EVA Information Security ha rivelato che l'exploit potrebbe portare gli aggressori ad accedervi dati sensibili dell'app come i dettagli della carta di credito, delle cartelle cliniche e del materiale privato. I dati potrebbero essere utilizzati per una serie di scopi, tra cui ransomware, frodi, ricatti e spionaggio aziendale.

I ricercatori hanno scritto che non ci sono prove dirette che nessuna di queste vulnerabilità sia stata sfruttata, ma “la prova dell'assenza non è l'assenza di prove“In sostanza, non si può escludere.

Non è richiesta alcuna azione da parte degli sviluppatori delle app o degli utenti che le utilizzano. I ricercatori EVA, tuttavia, hanno consigliato agli sviluppatori di app che utilizzavano CocoaPods di sincronizzare il pod entro ottobre per assicurarsi che sia aggiornato e di rivedere le dipendenze per assicurarsi di non utilizzare un pod abbandonato.

Inoltre è meglio assicurarsi di usare dipendenze mantenere attivo e di chiara proprietà, oppure di effettuare scansioni periodiche del codice. Infine, diffidando di dipendenze molto popolari, che sono più probabilmente il bersaglio degli aggressori.

Ricordiamo che Baccelli di cacao già nel 2021 è stato oggetto di un attacco che ha permesso al repository di eseguire codice arbitrario sul server che gestisce, consentendo ai malintenzionati di sostituire i pacchetti esistenti con versioni dannose.

Risultando in codice dannoso che sarebbe potuto arrivare nelle app per iOS e macOS.

Potresti interessarti anche