Um grupo de especialistas em segurança descobriu três vulnerabilidades críticas que colocaram em risco milhões de iPhones e Macs durante quase uma década. O descuido expôs aplicações como o WhatsApp, o TikTok, a Netflix e até o Safari, afetando centenas de milhões de utilizadores.
Investigadores do grupo israelita E.V.A. Information Security publicaram um relatório sobre três vulnerabilidades no CocoaPods, um gestor de dependências open-source para o desenvolvimento de aplicações. De acordo com os especialistas, qualquer agente malicioso era capaz de assumir o controlo de bibliotecas de terceiros para inserir código malicioso. Os ataques teriam afetado quase todos os dispositivos Apple, tanto de particulares como de organizações.
A falha em questão foi gerada em maio de 2014, quando o CocoaPods realizou uma migração para um serviço Web que procurava melhorar a experiência do utilizador. Embora isso tenha facilitado a publicação de “Pods”, milhares de dependências ficaram órfãs no processo. Isto abriu a porta a qualquer atacante que utilizasse uma API pública e um endereço de correio eletrónico genérico para assumir o controlo.
Embora o processo seja mais complexo do que parece, uma vez que um atacante tenha acesso ao código-fonte da dependência, as implicações seriam catastróficas. O hacker poderia injetar código malicioso e atualizar packages no servidor CocoaPods, resultando em zero-day attacks.
Vulnerabilidade do CocoaPods que afeta iPhones e Macs
De acordo com os investigadores, muitas aplicações iOS e macOS eram suscetíveis a zero-day attacks. Algumas das aplicações mais utilizadas, como o Facebook, o WhatsApp, o TikTok, o Snapchat ou a Amazon, utilizam dependências órfãs do CocoaPods. No caso da Apple, o Safari, a Apple TV e o Xcode fazem referência a estes Pods na sua documentação ou termos de serviço.
No total, encontramos 685 Pods que tinham uma dependência explícita usando um Pod órfão. Sem dúvida, existem centenas ou milhares mais em bases de código proprietárias. Ao tomar posse de uma parte da supply chain de aplicações iOS e macOS, um atacante teria um caminho livre para aceder a milhões de aplicações móveis e às centenas de milhões de pessoas que as utilizam.
Mencionou o grupo de segurança.
Uma das três vulnerabilidades explora o processo de verificação de email do servidor CocoaPods. A falha permite que um atacante execute código para manipular ou substituir packages de dependências por código malicioso.
A boa notícia é que as vulnerabilidades foram corrigidas pelo CocoaPods. Até à data, não há provas de que qualquer uma destas falhas tenha sido explorada. O grupo de segurança recomenda que as empresas revejam a sua lista de dependências e gestores de packages utilizados nas suas aplicações.
Leia também: