详细内容或原文请订阅后点击阅览
几乎每台 Apple 设备都容易受到 CocoaPods 供应链攻击
无
来源:Packet Storm _恶意软件CocoaPods 是一个开源依赖管理器,用于超过 300 万个使用 Swift 和 Objective-C 编写的应用程序,近十年来,数千个软件包暴露在外,随时可能被接管——从而为针对 iOS 和 macOS 应用程序的供应链攻击创造了机会,安全研究人员表示。
以色列公司 EVA Information Security 在周一的一篇博客文章中宣布了这一发现。 EVA 声称 CocoaPods 在 2014 年将所有“Pods”(描述项目依赖项的文件)迁移到 GitHub 上的新“Trunk 服务器”。 此次迁移导致所有 Pods 的作者身份被重置,作者要求重新认领他们的工作。
博客文章有些没有,在撰写本文时,1,870 个 Pod 仍未被其所有者认领,使它们处于孤立状态——并且可以访问。
1,870 个 Pod该漏洞现在被称为 CVE-2024-38368,EVA 告诉我们它的 CVSS 评分为 9.3。该问题之所以获得该评级,是因为所有孤立的 Pod 都与一个默认电子邮件地址相关联,并且用于认领无人认领的 Pod 的公共 API 一直可用到 2023 年底——无需提供任何所有权验证。
CVE-2024-38368要认领 Pod,攻击者所需要做的就是传输特定的 CURL 请求,然后瞧——他们可以自由地修改 Pod 并插入恶意代码。
瞧EVA 的研究人员写道,他们没有看到这个漏洞被利用的证据。但考虑到目前使用的 iOS 设备数量超过十亿,而且 Meta、Apple、Microsoft、TikTok、Amazon 等公司的应用被发现使用了存在漏洞的 Pod,因此完全可以想象有“数千到数百万”个应用被该漏洞利用。
我们甚至意识到了这一混乱局面,这有点巧合:研究人员是在为客户进行红队演习时发现它们的,而不是通过有意检查 CocoaPods。
如果 EVA 团队能找到它们,其他人也能找到。