EVA Information Security 的安全研究人员发现了CocoaPods中的几个严重漏洞,CocoaPods 是 Swift 和 Objective-C 项目的流行依赖项管理器。这些漏洞可能会使数百万台 Apple 设备面临供应链攻击,凸显了与开源软件依赖项相关的风险日益增加。
CocoaPods 已用于超过 300 万个移动应用,在 iOS 和 macOS 开发生态系统中发挥着至关重要的作用。发现的漏洞可能允许攻击者声称拥有孤立软件包的所有权,在 CocoaPods“Trunk”服务器上执行任意代码,并执行零点击帐户接管。
漏洞详细信息:
- 未经授权拥有孤立 pod 的所有权 (CVE-2024-38368):攻击者可以声称拥有 1,866 个孤立 pod 中的任何一个,从而可能将恶意代码注入广泛使用的软件包中。
- “Trunk”服务器上的远程代码执行(CVE-2024-38366):电子邮件验证过程中的缺陷可能允许攻击者在管理软件包分发的服务器上执行任意代码。
- 零点击帐户接管(CVE-2024-38367):通过利用 X-Forwarded-Host 标头和电子邮件安全工具,攻击者可以未经授权访问开发者帐户。
这些漏洞影响了 Swift 和 Objective-C 应用程序生态系统的很大一部分,可能会影响 iOS、macOS 和其他 Apple 平台上的数千到数百万个应用程序。Google、GitHub、Amazon 和 Dropbox 等大公司维护的项目可能因这些缺陷而面临风险。
“许多无人认领的 Pod 仍在广泛使用。我们在 Meta(Facebook、WhatsApp)、Apple(Safari、AppleTV、Xcode)和 Microsoft(Teams)提供的应用程序的文档或服务条款文档中发现了对孤立 Pod 的提及;以及在 TikTok、Snapchat、Amazon、LinkedIn、Netflix、Okta、Yahoo、Zynga 等中也是如此,”EVA 信息安全研究人员解释道。
这些漏洞的潜在后果非常严重。恶意行为者可能会访问敏感的用户信息,包括信用卡详细信息和医疗记录,从而导致勒索软件攻击、欺诈或企业间谍活动。
建议使用 CocoaPods 的开发人员和组织,尤其是在 2023 年 10 月之前,立即采取行动:
- 查看依赖列表并验证第三方库的校验和。
- 执行安全扫描以检测恶意代码或可疑更改。
- 保持软件更新并限制使用孤立或未维护的软件包。
- 对第三方代码实施全面的安全审查。
- 验证没有孤立的 Pod 正在被使用。
- 确保积极维护第三方依赖关系并明确所有权。
CocoaPods 团队已获悉这些漏洞,并已修复。然而,该事件再次提醒我们,过度依赖开源依赖项存在风险,并且必须时刻警惕软件供应链安全。
这一发现强调了开发人员需要时刻警惕将第三方代码集成到其应用程序中的潜在后果。随着软件供应链变得越来越复杂,洞察应用程序代码组成并确保开源依赖关系的有效性至关重要。
虽然没有直接证据表明这些漏洞已被广泛利用,但全球数百万台 Apple 设备可能会受到影响,因此有必要采取积极主动的安全措施。我们鼓励开发人员实施建议的缓解策略,并随时了解其依赖项管理工具的安全状态。
