En una importante revelación de seguridad cibernética, CocoaPods, un administrador de dependencias de código abierto utilizado por más de tres millones de aplicaciones, contenía múltiples vulnerabilidades de dispositivos. Estas fallas, que existieron durante nueve años antes de ser parcheadas en octubre pasado, tenían el potencial de comprometer casi todos los dispositivos de Apple, según un informe detallado. Descripción general de CocoaPods CocoaPods es esencial para administrar dependencias en proyectos Swift y Objective-C y verificar y autenticar los módulos que usan los desarrolladores. Sin embargo, su ubicuidad se convirtió en una responsabilidad cuando se descubrieron vulnerabilidades que podrían permitir a los atacantes tomar el control de miles de «pods» (bibliotecas) no reclamados e inyectar código malicioso en aplicaciones populares de iOS y macOS. El origen de las vulnerabilidades Las vulnerabilidades se remontan a una migración de 2014 a un nuevo servidor «Trunk». Esta migración dejó miles de paquetes «huérfanos», con sus propietarios originales sin identificar. El punto final de API público para reclamar estos pods permaneció abierto durante nueve años, lo que permitió que cualquiera los reclamara sin verificación. La seguridad del correo electrónico es vital Un proceso de verificación de correo electrónico inseguro y un paquete Ruby vulnerable podrían permitir a los atacantes ejecutar código arbitrario en el servidor Trunk, manipulando o reemplazando los paquetes descargados. «Al falsificar un encabezado HTTP y explotar herramientas de seguridad de correo electrónico mal configuradas, los atacantes podrían ejecutar un ataque de clic cero, accediendo al token de verificación de cuenta de un desarrollador», explicaron los investigadores. Esta violación de datos permitiría a los atacantes alterar los paquetes en el servidor CocoaPods, lo que llevaría a posibles ataques cibernéticos de día cero y de cadena de suministro. Implicaciones de las vulnerabilidades del dispositivo Los hallazgos de EVA Security subrayan la escala potencial de la amenaza. Si bien no hay evidencia directa de que estas vulnerabilidades hayan sido explotadas en la naturaleza, el gran tamaño del ecosistema CocoaPods, que comprende 100,000 bibliotecas, y el tiempo que existieron las vulnerabilidades hacen que sea plausible que pudieran haber sido utilizadas. La explotación de estas fallas podría haber dado a los atacantes el control sobre CocoaPods y cualquier paquete publicado, brindando acceso a datos confidenciales. “Un atacante que controle una parte de la cadena de suministro de aplicaciones iOS/macOS tendría la capacidad de acceder a millones de aplicaciones móviles y a los cientos de millones de personas que las usan”, destacaron los investigadores. El impacto potencial es enorme, especialmente considerando que CocoaPods es el administrador de dependencias más popular entre los desarrolladores de iOS. Los proyectos afectados podrían incluir aquellos mantenidos por grandes empresas como Google, GitHub, Amazon y Dropbox. Estrategias de mitigación Se recomienda a los desarrolladores que tomen varias medidas de mitigación: Revise las listas de dependencias: valide las bibliotecas de terceros y asegúrese de que el software esté actualizado. Evite las bibliotecas huérfanas: EVA identificó 1.866 pods huérfanos; estos deben evitarse. Asegúrese de la coherencia: todos los desarrolladores deben usar la misma versión de los paquetes. Escaneos de seguridad regulares: realice escaneos para detectar secretos y código malicioso en bibliotecas externas, particularmente CocoaPods. ¿Qué hacer a continuación? Si bien las vulnerabilidades en CocoaPods se han parcheado, este incidente sirve como un duro recordatorio de la naturaleza precaria de la cadena de suministro de software. Los componentes de terceros están omnipresentes en las aplicaciones y los ataques dirigidos a estos componentes pueden ser complicados de detectar. Investigaciones recientes indican que las defensas como la lista de materiales de software (SBOM), el escaneo de código y el acceso restringido al repositorio solo se implementan de manera efectiva en ocasiones, lo que subraya aún más la necesidad de vigilancia en las prácticas de desarrollo de software. Comuníquese con los expertos en ciberseguridad administrada de Neuways Si tiene alguna inquietud sobre ciberseguridad, comuníquese con Neuways. Nuestro servicio de ciberseguridad administrada ayudará a sus empleados a proteger su negocio.