Todo el ecosistema de Apple es conocido por su seguridad. Sin embargo, hay ocasiones en las que algún pequeño error abre una brecha de vulnerabilidad que ataca directamente al entorno de la manzana. Así ha sido el caso en las últimas horas, Millones de aplicaciones de iOS y macOS han estado expuestas a una grave brecha de seguridad que podría haber permitido ataques de la cadena de suministro, según un informe que gira en torno a una investigación.
Según el informe, alrededor de 3 millones de aplicaciones de iOS y macOS desarrolladas con CocoaPods han sido vulnerables durante aproximadamente 10 años. CocoaPods facilita a los desarrolladores la integración de código de terceros en sus aplicaciones mediante bibliotecas de código abierto. Cuando se actualiza una biblioteca, las apps que la utilizan reciben automáticamente las últimas actualizaciones.
Importante brecha de seguridad en Apple
EVA Information Security reveló que el fallo podría permitir a los atacantes acceder a datos sensibles de las aplicaciones, como detalles de tarjetas de crédito, registros médicos y material privado. Esta información podría ser utilizada para diversos fines maliciosos, incluyendo fraude, chantaje y espionaje corporativo.
Las vulnerabilidades estaban relacionadas con un mecanismo inseguro de verificación de correo electrónico utilizado para verificar a los desarrolladores de pods individuales (bibliotecas). Por ejemplo, un atacante podría manipular la URL en un enlace de verificación para dirigirla a un servidor malicioso. El equipo de CocoaPods ya ha tomado medidas para garantizar que estos ataques sean solucionados.
Después de que los investigadores de EVA notificaron privadamente a los desarrolladores de CocoaPods sobre la vulnerabilidad, se borraron todas las claves de sesión para asegurar que nadie pudiera acceder a las cuentas sin tener primero el control de la dirección de correo electrónico registrada.
Además, los mantenedores de CocoaPods implementaron un nuevo procedimiento para recuperar pods huérfanos antiguos que requiere contactar directamente a los mantenedores. Un autor tendría que comunicarse con la empresa para tomar el control de una de estas dependencias en este momento.
No es la primera vez
Esta no es la primera vez que los hackers atacan a esta desarrolladora. En 2021, se descubrió un problema de seguridad en CocoaPods que permitía a los hackers ejecutar código no autorizado en sus servidores. Esto podría haber sido utilizado para reemplazar paquetes legítimos con versiones maliciosas que acabarían en aplicaciones de iOS y Mac.
Los expertos de EVA recomiendan a los desarrolladores que usan CocoaPods en sus aplicaciones revisar siempre las dependencias y realizar análisis de seguridad para detectar código malicioso en todas las bibliotecas externas. Este enfoque es esencial para mantener la seguridad e integridad de las aplicaciones.
La reciente brecha de seguridad en CocoaPods subraya la importancia de estar siempre atentos a la seguridad del software, especialmente al integrar bibliotecas de terceros. Aunque los desarrolladores de CocoaPods han solucionado la vulnerabilidad, es crucial que los desarrolladores también adopten prácticas de seguridad rigurosas para proteger sus aplicaciones y a sus usuarios.
La comunidad de desarrolladores debe mantenerse alerta, ya que esta brecha es un recordatorio de los riesgos que pueden surgir en la cadena de suministro del software y la necesidad de medidas de seguridad robustas y constantes.
La entrada Cuidado con tus datos: millones de apps del iPhone han sido expuestas a una brecha de seguridad se publicó primero en La Manzana Mordida.
