Proponha uma correção, faça uma sugestão
Milhões de iPhones e Macs estiveram expostos a vulnerabilidades críticas durante uma década
Um grupo de especialistas em segurança descobriu três vulnerabilidades críticas que colocaram em risco milhões de iPhones e Macs durante quase uma década. O descuido expôs aplicações como o WhatsApp, o TikTok, a Netflix e até o Safari, afetando centenas de milhões de utilizadores.
Investigadores do grupo israelita E.V.A. Information Security publicaram um relatório sobre três vulnerabilidades no CocoaPods, um gestor de dependências open-source para o desenvolvimento de aplicações. De acordo com os especialistas, qualquer agente malicioso era capaz de assumir o controlo de bibliotecas de terceiros para inserir código malicioso. Os ataques teriam afetado quase todos os dispositivos Apple, tanto de particulares como de organizações.
A falha em questão foi gerada em maio de 2014, quando o CocoaPods realizou uma migração para um serviço Web que procurava melhorar a experiência do utilizador. Embora isso tenha facilitado a publicação de "Pods", milhares de dependências ficaram órfãs no processo. Isto abriu a porta a qualquer atacante que utilizasse uma API pública e um endereço de correio eletrónico genérico para assumir o controlo.
Embora o processo seja mais complexo do que parece, uma vez que um atacante tenha acesso ao código-fonte da dependência, as implicações seriam catastróficas. O hacker poderia injetar código malicioso e atualizar packages no servidor CocoaPods, resultando em zero-day attacks.
Vulnerabilidade do CocoaPods que afeta iPhones e Macs
De acordo com os investigadores, muitas aplicações iOS e macOS eram suscetíveis a zero-day attacks. Algumas das aplicações mais utilizadas, como o Facebook, o WhatsApp, o TikTok, o Snapchat ou a Amazon, utilizam dependências órfãs do CocoaPods. No caso da Apple, o Safari, a Apple TV e o Xcode fazem referência a estes Pods na sua documentação ou termos de serviço.
No total, encontramos 685 Pods que tinham uma dependência explícita usando um Pod órfão. Sem dúvida, existem centenas ou milhares mais em bases de código proprietárias. Ao tomar posse de uma parte da supply chain de aplicações iOS e macOS, um atacante teria um caminho livre para aceder a milhões de aplicações móveis e às centenas de milhões de pessoas que as utilizam.
Mencionou o grupo de segurança.
Uma das três vulnerabilidades explora o processo de verificação de email do servidor CocoaPods. A falha permite que um atacante execute código para manipular ou substituir packages de dependências por código malicioso.
A boa notícia é que as vulnerabilidades foram corrigidas pelo CocoaPods. Até à data, não há provas de que qualquer uma destas falhas tenha sido explorada. O grupo de segurança recomenda que as empresas revejam a sua lista de dependências e gestores de packages utilizados nas suas aplicações.
Leia também:
Loading ...
E novidades, não é mais que os outros.
Pensei que fossem consagrados e únicos e diferentes!
também pensavam que eram incontestáveis e acima de tudo e todos.
Could’ve, should’ve, would’ve. Didn’t.
iPhone e Macs sempre foram overrated.
Diz que não os tem 😉 e não está seguro das suas escolhas. Até porque as vendas, ano após ano, conferem isso mesmo que referi. Só fala quem não tem. Caso contrário, a Apple estaria noutro patamar de vendas. E vemos que não é assim, a Apple tem aumentado o seu mercado quer nos Macs, quer no iPhone, Apple Watch, AirPods e afins.
Não será preciso dizer porque aumenta as vendas.. Ou será? Conheço vários casos que quando lhes pergunto porque têm um iPhone não sabem responder…
Grande parte dos utilizadores Android têm um telefone de mexer com o dedo porque é barato. Quer que lhe explique isso melhor? 😉
Assim como os mais de 70% que compram iPhone é para mecher com o dedo e pagá-lo em prestações.
😀 70 até foste meigo, quem diz 70 diz 120 🙂 . Mas se calhar são todos pagos. E quem os compra… sabe que tem um produto que mesmo depois pode ser rentável. Por exemplo, o mercado dos recondicionados e usados viver por conta da procura de iPhones 😉 e cada vez há mais deste mercado e cada vez se vendem mais.
Compra quem quer, quem pode, quem precisa e quem valoriza.
lá fora também a maioria compra o iphone a prestações, chamam-se planos pós-pagos, só o tuga que não tem dinheiro para pós pagos tem pré-pagos e paga full price pelos telemoveis
O tuga tem dinheiro, isso é certo. E em Portugal a Apple vende muito, face ao tamanho do mercado. E em Portugal os recondicionados e usados vem muito. Isso é outra realidade. Portanto, em Portugal no que toca, por exemplo, às escolhas dos mais novos, o iPhone é sem dúvida a escolha. Boas fotos para as redes sociais, um equipamento duradouro e muitas alternativas no que toca às várias plataformas. Mas os android não vendem bem? Sim, os mais baratos. São bons, isso não há dúvida, mas vendem porque o preço é acessível.
Em todo o mundo, principalmente os telefones premium, têm nas operadoras planos de pagamento mensal. Nem todas as pessoas podem fazer isso. Normalmente só tem crédito quem é sério. E cada vez é mais isso. Não é um qualquer que pode comprar a crédito.
Comprar um telemóvel e dizer que pode ser, na mesma frase.
Não faz sentido.
A menos que estejas a falar de um telemóvel, dentro da caixa selada intacto passado 10 anos.
E mesmo assim não são todos.
De resto não faz sentido!
Eu o que sejo, 99% das mulheres e 80% dos miúdos, tem um iPhone.
Não acredito que os pais, e o restante das pessoas não tenha dinheiro para um.
São opções… Não é pelo valor deles.
Porque quem paga 800€ por mês de prestação de casa, 20 ou 30€ para andar de iPhone, não parece ser lá grande transtornos.
Olha na minha empresa todas as empregadas de limpeza tem iPhone.
Devem ter tirado mesmo curso que tu de investimento.
Elas também grande parte investem no pass de autocarro.
E almoçam na marmita, investimentos…
Nem todas as pessoas podem ter um iPhone. Algumas não querem, outras não precisam, outras não gostam e outras têm outros investimentos onde gastar o dinheiro.
Mas quem compra, quem usa, fá-lo porque escolheu efetivamente esse equipamento e não por ser barato.
As pessoa pensam que ter um iPhone traz status mas como alguém disse: Até um trolha têm um iPhone.
Um iCoisa custa 1000 euros e 80% é o custo de ser Apple e o resto é o custo da construção. Depois vem essa marca dizer que inventou a pólvora 1000 anos após a sua descoberta.
A segurança devia ser melhor pelo preço que se paga.
Até um trolha? É menos que tu queres ver? Qualquer pessoas com dois dedos de testa compra o que mais gosta. Outros, os que só criticam por despeito, compram por indicação 😉
Diz quem já os teve e mal empregue o dinheiro…
Sim, vendeu um e comprou o modelo a seguir 😉 as usual…
As pessoas só compram porque é moda, mas a Apple tem o mérito de saber estar na moda.
É sempre moda 🙂 compram porque é o melhor. Tem o melhor da Apple, da Google e afins. Por isso é que as pessoas compram. E compram… e compram… qual moda qual carapuça 😀
O meu Android tem 5 anos…as vendas do Iphone provavelmente a maioria são com contratos. O melhor???? Eu duvido que a maioria dos utilizadores comprem porque é o “melhor”, a maioria compra porque hoje em dia o que conta é o chamado “estatuto”, da mesma maneira que eu vejo pessoas a comprar malas Louis BItolas só porque já sabemos. O mundo virou um bando de idioters e as tuas respostas comprovam exatamente isso, um jornaleiro a responder às pessoas “a minha é maior que a tua”. Concordo numa coisa, cada um compra o que gosta mas depois essa cena do melhor e o maior……
diz-me que nunca tiveste um iphone sem dizer que nunca tiveste um iphone.
“CocoaPods, um gestor de dependências open-source para o desenvolvimento de aplicações” “para projetos Swift e Objective-C que simplifica a integração de bibliotecas de terceiros em apps iOS e macOS. O CocoaPods automatiza o processo de gestão de dependências, garantindo que todas as bibliotecas sejam compatíveis e atualizadas para agilizar o fluxo de trabalho de desenvolvimento”.
É muito usado ou pouco usado? “é encontrado em 100.000 bibliotecas usadas em mais de 3 milhões de apps móveis e funciona de forma semelhante ao NPM, Maven e PyPI. O gestor usa pacotes de soma de verificação e assinados criptograficamente para permitir que os desenvolvedores verifiquem a integridade e a autenticidade dos componentes que estão a usar”.
As três vulnerabilidades foram corrigidas pela equipa da CocoaPods no inicio do ano, após comunicação da E.V.A., que continua a advertir os developers que “realizem revisões periódicas de listas de dependência e práticas de segurança para evitar possíveis explorações futuras”.
P.S. O CocoaPods não é código da Apple, nem o usa diretamente. Ser código open-source não elimina as vulnerabilidades, que neste caso persistiram durante 10 anos.
O tal sistema inexpugnável 😛
Ainda há dias um certo administrador deste blog dizia que nunca tinha tido nenhum producto Apple, ao qual respondi que me tinha livrado de tudo o que era Apple por várias razões.
Aqui está uma (Das muitas) que não é novidade nenhuma.
Mas há mais que a Apple esconde, e bem mais graves….
Uma e outra e outra e outra vez a falácia que iOS é mais seguro cai por terra.
Hão-de ser tantas as vezes que é provado que é tanto ou menos inseguro que outros sistemas até os papagaios pararem de a repetir
Dá para ver que muitos não entenderam a causa.
Isso não tem nada a ver com iOS ou MacOS. Eram (ou são) vulnerabilidades associadas a dependências necessárias em algumas apps ou programas.