ATENÇÃO! Este modelo de celular foi exposto a falha de segurança perigosa

Notícias
Por Raianne Romão

Estudiosos identificaram falhas significativas no CocoaPods, um repositório amplamente utilizado para gerenciar projetos em Swift e Objective-C, expondo cerca de 3 milhões de aplicativos iOS e macOS a ataques de cadeia de suprimentos.

Essas vulnerabilidades, que passaram despercebidas por uma década, poderiam comprometer dados sensíveis de milhões de usuários, criando graves riscos de segurança. As falhas foram corrigidas em outubro.

A exposição de risco através do CocoaPods foi destacada pelo ArsTechnica com base em pesquisas da EVA Information Security.

O que é o CocoaPods?

O CocoaPods é um gerenciador de dependências de código aberto para desenvolvimento de software em plataformas Apple, como iOS e macOS. Ele facilita a integração de bibliotecas de terceiros nos aplicativos, permitindo que os desenvolvedores incorporem rapidamente frameworks e componentes adicionais.

O gerenciador automatiza a instalação e atualização dessas bibliotecas, garantindo o uso das versões mais recentes e compatíveis, o que agiliza o desenvolvimento e a manutenção dos aplicativos.

Natureza das vulnerabilidades

Três vulnerabilidades foram identificadas:

  1. CVE-2024-38367: Um mecanismo inseguro de verificação de e-mail permitia que invasores manipulassem URLs e injetassem código malicioso em aplicativos, expondo informações sensíveis dos usuários, como detalhes de cartões de crédito e registros médicos.
  2. CVE-2024-38368: Invasores podiam assumir o controle de pods abandonados e injetar atualizações prejudiciais em aplicativos amplamente usados.
  3. CVE-2024-38366: Falhas no processo de verificação de e-mails permitiam a execução de código no servidor trunk, concedendo aos invasores acesso ao shell do servidor e expondo variáveis de ambiente.

Medidas de resposta e mitigação

Em resposta, os mantenedores do CocoaPods corrigiram essas vulnerabilidades em outubro. Todas as chaves de sessão foram limpas para proteger as contas dos desenvolvedores, e um novo procedimento para recuperação de pods órfãos foi implementado, exigindo contato direto com os mantenedores.

Embora não haja confirmação de exploração ativa dessas falhas, os cenários descritos pelos pesquisadores foram considerados plausíveis.

Recomendações para desenvolvedores

Os pesquisadores da EVA recomendaram várias medidas de precaução para desenvolvedores que utilizam o CocoaPods:

  • Sincronizar o arquivo podfile.lock entre todos os desenvolvedores.
  • Realizar validação CRC nos Pods desenvolvidos internamente.
  • Conduzir revisões de segurança completas do código de terceiros.
  • Verificar a manutenção ativa e a propriedade clara das dependências.
  • Fazer varreduras periódicas para detectar código malicioso em bibliotecas externas.
  • Ser cauteloso com dependências amplamente usadas, pois são alvos atraentes para ataques.

Avatar de Raianne Romão
Raianne Romão

    Raianne Romão é comunicóloga com habilitação em Jornalismo. Já escreveu sobre celebridades, televisão e novelas. Atualmente, escreve sobre benefícios sociais no "Benefícios Hoje".

    você pode gostar também Mais do autor
    Deixe uma resposta

    Seu endereço de email não será publicado.