Sprzęty Apple nie takie bezpieczne. Wielkie luki w zabezpieczeniach, które były tam od dekady

Urządzenia Apple cieszą się renomą takich, których użytkownicy mogą spać bezpiecznie. Wszystko to dzięki zamkniętemu ekosystemowi. Co jakiś czas jednak docierają do nas niepokojące wieści o wykrytych lukach — i tak sprawy mają się i teraz. EVA Information Security informuje o podatności milionów aplikacji na iOS i macOS na ataki. Gdzie leży problem? Za wszystko odpowiedzialne mają być luki zabezpieczeń CocoaPods, popularnego repozytorium open-source, które mogą być wykorzystane do ataków na aplikacje przeznaczone na platformy Apple.

Czym jest CocoaPods, przez które urządzenia Apple narażone są na ataki?

CocoaPods jest narzędziem umożliwiającym programistom łatwą integrację zewnętrznych bibliotek open-source w tworzonych przez nich aplikacjach. Automatyczne wdrażanie aktualizacji tych bibliotek ma ogrom atutów. I jednym z nich bez wątpienia znaczne upraszczanie procesu ich aktualizacji. Jednak korzystanie z zewnętrznych źródeł dodaje kolejną warstwę potencjalnego ataku... no i właśnie. W tym konkretnym przypadku naraża tworzone z wykorzystaniem CocoaPods aplikacje na potencjalne zagrożenia.

Jak wynika z opublikowanego raportu, około 3 milionów aplikacji na iOS i macOS korzystających z CocoaPods było narażone na ataki. I mowa tu o ogromnym oknie czasowym — bo wspomina się nawet o dekadzie! Luki te mogły umożliwić atakującym dostęp do poufnych danych aplikacji — w śród nich wymienia się informacje związane z naszymi wydatkami, dotyczące naszego zdrowia czy prywatne materiały użytkowników. Dane te mogłyby być użyte do szantażu, oszustw czy ataków ransomware.

Co poszło nie tak? Jak można się przed tym uchronić?

• Weryfikacja maili: główna luka wynikała z niedostatecznie zabezpieczonego mechanizmu weryfikacji e-mail, używanego do autoryzacji deweloperów bibliotek. Atakujący mógł manipulować URL w linku weryfikacyjnym, kierując go na kontrolowany przez siebie serwer;
• Luki w serwerze "trunk" – serwer "trunk" zarządzający CocoaPods miał podatności, które umożliwiały przejęcie kontroli nad bibliotekami porzuconymi przez deweloperów. Wystarczyło znalezienie interfejsu do przejmowania tych bibliotek, aby zdobyć nad nimi kontrolę;
• Wykonywanie kodu na serwerze – trzecia luka pozwalała na wykonanie kodu bezpośrednio na serwerze. Mechanizm weryfikacji adresów email zgodny z RFC822 mógł być wykorzystany do uruchomienia złośliwego skryptu.

Po zgłoszeniu luk przez EVA Information Security, zespół CocoaPods natychmiast podjął odpowiednie działania, które miały na celu uniemożliwić dalsze wykorzystywanie niedoskonałości w ich narzędziu. Usunięto wszystkie klucze dotychczasowych sesji i wprowadzono nową procedurę odzyskiwania porzuconych bibliotek, która wymaga bezpośredniego kontaktu z zespołem CocoaPods.

Czytaj dalej poniżej

Myśleliśmy, że Księżyc powstał inaczej. Nowa teoria wyjaśnia nieścisłości Patryk Łobaza

Konsultant obiecywał, a wyszło jak zwykle. UOKiK przygląda się Play Patryk Koncewicz

Wielkie luki w zabezpieczeniach CocoaPods - czy jest się czego obawiać?

Bez wątpienia wykryte luki brzmią przerażająco — tym bardziej, że datowane są na blisko dekadę wstecz. Dobra wiadomość jest taka, że przynajmniej póki co nie znaleziono żadnych dowodów na to, by były one aktywnie wykorzystywane przez jakąkolwiek grupę hakerów. Specjaliści z firmy która odkryła tę podatność podkreślają jednak, że brak dowodów nie oznacza braku zagrożenia. Potencjalne zmiany w kodzie mogłyby wpłynąć na miliony urządzeń Apple, narażając użytkowników na poważne ryzyko.