Dominio Libre
Apple comercio Computadoras Emprendimiento Entretenimiento How To IA Internet Programas y Software Redes sociales Salud seguridad Talks Tecnología y Hardware

Nuevos errores de código abierto dejan miles de aplicaciones de iOS vulnerables al secuestro.

Las vulnerabilidades de Cocoapods podrían amenazar a TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger y muchos otros.

Una serie de vulnerabilidades recientemente descubiertas en una utilidad de software de código abierto ampliamente utilizada podría significar grandes problemas para grandes partes de iOS y Ecosistemas MacOS. Los errores en cuestión podrían afectar a miles de aplicaciones ampliamente utilizadas, incluidos programas populares como TikTok, Snapchat, LinkedIn, Netflix y Microsoft. Teams, Facebook Messenger y muchos otros, según investigación de seguridad asociada. Si bien los componentes de código abierto han sido parchados, los equipos de DevOps para las aplicaciones afectadas seguramente están luchando para garantizar que sus sistemas están correctamente actualizado para proteger a los usuarios de una potencial explotación.

Las vulnerabilidades fueron descubiertas en Cocoápodos, un administrador de dependencias ampliamente utilizado para proyectos de software codificados en los lenguajes de programación Swift y Objective-C. Los administradores de dependencias son herramientas vitales en el proceso de desarrollo de software, permitiendo la validación y firma criptográfica de paquetes de software. La corrupción de dicha herramienta obviamente tiene grandes (y malo) implicaciones para grandes partes de la web.

Los bichos cocoapods fueron descubiertos por investigadores de EVA Information Security, una firma de ciberseguridad y pentesting.

Los errores son el resultado de una migración imperfecta del servidor Cocoapods que tomó lugar en 2014, que “dejaron huérfanos” miles de paquetes de software. Debido a las deficiencias de seguridad en el sistema, esos los paquetes podrían haber sido fácilmente controlados por un mal actor y (hipotéticamente) utilizados para cometer ataques a la cadena de suministro que podrían introducir actualizaciones de código malicioso a los proyectos de software corporativos que dependen de ellos. Los investigadores desglosan la situación así:

Un proceso de migración de 2014 dejó miles de paquetes huérfanos (donde se desconoce el propietario original), muchos de los cuales todavía se utilizan ampliamente en otros bibliotecas. Usando una API pública y una dirección de correo electrónico que estaba disponible en el código fuente de CocoaPods, un atacante podría reclamar la propiedad de cualquier de estos paquetes, que permitirían al atacante reemplazar el código fuente original con su propio código malicioso…Las vulnerabilidades que descubierto podría usarse para controlar el propio administrador de dependencias y cualquier paquete publicado. Las dependencias posteriores podrían significar que miles de aplicaciones y millones de dispositivos fueron expuestos durante los últimos años.

Los tres errores han sido parcheados desde entonces, pero su gravedad y el hecho de que quedaron expuestos durante tantas nueve años, seguramente mantiene despiertos a muchos equipos de software por la noche.

La razón por la que Apple está al frente y en el centro de este lío es que muchas aplicaciones de iOS y MacOS están codificadas usando ambas Rápido y C objetivo idiomas, haciéndolos particularmente susceptibles a los problemas en juego. Los investigadores escriben que los errores podrían afectar a “miles” o “millones” de aplicaciones, y que un “ataque al ecosistema de aplicaciones móviles podría infectar casi todos los dispositivos Apple, dejando a miles de organizaciones vulnerables a consecuencias catastróficas. daños financieros y reputacionales”.

Los investigadores dicen que aún no han visto ninguna evidencia que sugiera que las aplicaciones realmente estuvieron comprometidas. Sin embargo, si algunas lo estuvieran, obviamente podría significar un problema grave. problemas para los usuarios. Los investigadores señalan que debido a que muchas aplicaciones pueden “acceder a la información más sensitiva de un usuario: detalles de tarjeta de crédito, registros médicos, privados materiales”, un criminal cibernético podría inyectar código en las aplicaciones a vía los pods comprometidos, permitiéndoles «acceder a esta información para casi cualquier forma maliciosa . propósito imaginable : ransomware, fraude, chantaje, espionaje corporativo”.

Los investigadores han instado a los desarrolladores corporativos a revisar sus productos y “verificar la integridad de las dependencias de código abierto utilizadas en el código de su aplicación”

arantizando así que sus sistemas y sus clientes no estén expuestos.

El Deficiencias de seguridad que pueden surgir en el software de código abierto son bien conocidos. La industria del software comercial depende del software libre para desarrollar sus productos comerciales, pero se dedica poco tiempo a apuntalar y asegurar el ecosistema de software libre a partir del cual se construye todo Internet. Los resultados finales, como era de esperar, no son buenos.

Descubre más desde Dominio Libre

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo