Исследователи из E.V.A Information Security выявили три серьёзные уязвимости в CocoaPods, популярном менеджере зависимостей с открытым исходным кодом для iOS и macOS приложений. Эти уязвимости потенциально могли позволить злоумышленникам внедрить вредоносный код в широкий спектр приложений, включая продукты крупнейших технологических компаний.

Среди затронутых приложений – продукты Meta* (Facebook*, WhatsApp), Apple (Safari, AppleTV, Xcode), Microsoft (Teams), а также TikTok, Snapchat, Amazon, LinkedIn, Netflix и многие другие. Исследователи обнаружили 685 модулей с явной зависимостью от потенциально уязвимых компонентов, предполагая, что реальное число затронутых приложений может исчисляться тысячами.

Наиболее критичная из обнаруженных уязвимостей (CVE-2024-38366) получила максимальную оценку 10\10 по шкале CVSS. Она связана с процессом миграции CocoaPods на новый сервер «Trunk» в 2014 году, в результате которого осталось 1 866 «осиротевших» модулей без активных владельцев.

Другие уязвимости (CVE-2024-38368 и CVE-2024-38367) также связаны с этой миграцией и позволяли потенциальным злоумышленникам захватывать контроль над модулями или даже учётными записями популярных разработчиков.

Хотя сами уязвимости уже исправлены разработчиками CocoaPods, специалисты по безопасности предупреждают, что многие приложения всё ещё могут использовать уязвимые версии библиотек. Разработчикам и DevOps-командам настоятельно рекомендуется проверить целостность используемых зависимостей, особенно если они работали с CocoaPods до октября 2023 года.

Эксперты советуют:

  1. Пересмотреть списки зависимостей и используемые менеджеры пакетов.
  2. Проверять контрольные суммы сторонних библиотек.
  3. Регулярно проводить сканирование кода на наличие вредоносных компонентов.
  4. Своевременно обновлять программное обеспечение.
  5. Ограничить использование неподдерживаемых пакетов.

Этот инцидент подчёркивает важность безопасности цепочки поставок программного обеспечения и необходимость усиленного контроля за использованием инструментов управления зависимостями. Пользователям рекомендуется регулярно обновлять свои приложения и операционные системы для минимизации рисков.

*Компания Meta, а также принадлежащие ей соцсети Facebook и Instagram, признаны экстремистскими и запрещены на территории РФ.

Ещё по теме: