CocoaPods: Supply-Chain-Angriffe auf iOS und macOS möglich
Table of Contents
Am 1. Juli 2024 berichteten Forscher von E.V.A Information Security mehrere kritische Sicherheitslücken im CocoaPods-Ökosystem. Diese Schwachstellen ermöglichen Supply-Chain-Angriffe, die Tausende von iOS- und macOS-Anwendungen gefährden.
Details zu den Schwachstellen
- Übernahme verwaister Pods:
Die Schwachstelle CVE-2024-38368 ermöglicht es Angreifern, die Kontrolle über verwaiste Pods zu übernehmen, indem sie eine öffentlich zugängliche API nutzen. Dies erlaubt es Angreifern, den ursprünglichen Quellcode durch bösartigen Code zu ersetzen. - Remote Code Execution (RCE) auf dem CocoaPods-Trunk-Server:
Eine unsichere E-Mail-Überprüfung ermöglichte es Angreifern, beliebigen Code auf dem Trunk-Server auszuführen und damit die heruntergeladenen Pakete zu manipulieren oder zu ersetzen. - Zero-Click Account Takeover:
Angreifer konnten durch Spoofing eines HTTP-Headers und Ausnutzung fehlkonfigurierter E-Mail-Sicherheitstools eine Zero-Click-Übernahme von Entwicklerkonten durchführen.
Diese Schwachstellen stellen ein erhebliches Risiko für die Software-Supply-Chain dar. Angreifer könnten bösartigen Code in weit verbreitete iOS- und macOS-Anwendungen injizieren, was zu massiven finanziellen und reputationsbezogenen Schäden führen könnte. Betroffene Anwendungen könnten auf Millionen von Geräten ausgeführt werden und Zugang zu sensiblen Benutzerdaten haben, einschließlich Kreditkarteninformationen, medizinischen Daten und persönlichen Dateien.
Entwickler und Organisationen sollten dringend ihre Abhängigkeitslisten und verwendeten Paketmanager überprüfen, Checksummen von Drittanbieterbibliotheken validieren, regelmäßige Scans auf bösartigen Code durchführen, Software aktuell halten und die Verwendung verwaister oder nicht gepflegter Pakete vermeiden. Besonders wichtig ist es, sicherzustellen, dass alle genutzten Abhängigkeiten aktiv gepflegt werden und deren Eigentümerschaft klar ist.