苹果衣柜里的骷髅：CocoaPods 侵犯了 iOS 生态系统的隐私

身份验证错误可能会破坏苹果的供应链。

EVA 信息安全专家发现了 CocoaPods 依赖管理器中的漏洞，该漏洞十多年来一直未被发现，可用于对 macOS 和 iOS 发起供应链攻击。这些错误允许恶意代码被插入到许多最受欢迎的应用程序中，使全球数百万用户面临风险。

已找到 iOS

该漏洞位于CocoaPods项目的Trunk控制服务器上。 CocoaPods 是 Swift 和 Objective-C 开源项目的存储库，近 300 万个应用程序依赖于 macOS 和 iOS。当开发人员对其“pod”（单独的代码包）进行更改时，相关应用程序会通过更新自动集成它们，通常无需与最终用户进行任何交互。

主干 CocoaPods

发现的错误之一允许攻击者将代码注入可以访问敏感用户信息的应用程序：信用卡信息、医疗记录、个人数据等等。注入代码可能会导致将信息用于任何恶意目的，例如勒索、欺诈、勒索或企业间谍活动。使用易受攻击的应用程序的公司面临严重的法律和声誉风险。

发现的三个漏洞与用于对各个模块的开发人员进行身份验证的不安全电子邮件验证机制有关。开发人员输入了与其模块关联的电子邮件地址。 Trunk 服务器通过发送到该地址的链接进行响应。当有人点击链接时，他们就获得了该帐户的访问权限。

通常，电子邮件包含指向 CocoaPods.org 服务器（顶部）的有效链接，但攻击者可以更改 URL 以指向恶意服务器（底部）。

发现以下漏洞：

CVE-2024-38366 CVE-2024-38366 （CVSS 得分：10.0） CVSS：8.0）