Pesquisadores revelaram que vulnerabilidades não detectadas por cerca de uma década deixaram milhares de aplicativos macOS e iOS suscetíveis a ataques de supply chain. Hackers poderiam ter adicionado códigos maliciosos, comprometendo a segurança de milhões de usuários que instalaram esses aplicativos.
Essas vulnerabilidades, corrigidas em outubro do ano passado, estavam em um servidor "trunk" usado para gerenciar o CocoaPods, um repositório para projetos de código aberto em Swift e Objective-C. Aproximadamente 3 milhões de aplicativos macOS e iOS dependem deste repositório.
Quando desenvolvedores fazem mudanças em um dos seus "pods" (pacotes de código individuais no CocoaPods), os aplicativos dependentes geralmente incorporam essas mudanças automaticamente através de atualizações, sem necessidade de interação dos usuários finais.
Vulnerabilidades de injeção de código
“Diversos aplicativos podem acessar informações extremamente sensíveis dos usuários: detalhes de cartões de crédito, registros médicos, materiais privados e mais”, escreveram os pesquisadores da EVA Information Security, a empresa que descobriu a vulnerabilidade.
“Injetar código nesses aplicativos poderia permitir que atacantes acessassem essas informações para quase qualquer propósito malicioso imaginável—ransomware, fraude, chantagem, espionagem corporativa... No processo, poderia expor empresas a grandes responsabilidades legais e riscos reputacionais.”
EVA Information Security
As três vulnerabilidades descobertas surgiram de um mecanismo inseguro de verificação de e-mail usado para autenticar desenvolvedores de pods individuais. O desenvolvedor inseria o endereço de e-mail associado ao seu pod, e o servidor trunk respondia enviando um link para esse endereço. Quando a pessoa clicava no link, ela ganhava acesso à conta.
Com isso, uma pessoa mal intencionada poderia manipular a URL no link para apontar para um servidor sob seu controle. O servidor aceitava um XFH falsificado, um cabeçalho HTTP usado para identificar o host alvo especificado em uma requisição HTTP.
Os pesquisadores da EVA descobriram que poderiam usar um XFH forjado para construir URLs de sua escolha.
Riscos e consequências
Essas vulnerabilidades representavam um risco significativo, pois permitiam que atacantes injetassem código malicioso em aplicativos populares sem o conhecimento dos desenvolvedores ou usuários finais. A capacidade de comprometer aplicativos amplamente utilizados poderia ter consequências devastadoras para a segurança e a privacidade dos usuários.
A descoberta e correção dessas falhas sublinham a importância de uma vigilância constante e de práticas robustas de segurança na gestão de repositórios de código aberto.
FIQUE POR DENTRO!
