Eine Reihe neu entdeckter Schwachstellen in weit verbreiteten Open-Source-Softwaredienstprogrammen könnten für einen Großteil des iOS- und MacOS-Ökosystems große Probleme bedeuten. Der fragliche Fehler könnte laut Angaben Tausende weit verbreiteter Apps betreffen, darunter beliebte Programme wie TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger und viele andere entsprechende SicherheitsforschungWährend die Open-Source-Komponenten selbst gepatcht wurden, haben die DevOps-Teams für die betroffenen Anwendungen sicherlich große Anstrengungen unternommen, um sicherzustellen, dass ihre Systeme ordnungsgemäß aktualisiert werden, um Benutzer vor potenziellen Exploits zu schützen.
Die Sicherheitslücke wurde entdeckt Kakaofruchtein weit verbreiteter Abhängigkeitsmanager für Softwareprojekte, die in den Programmiersprachen Swift und Objective-C codiert sind. Abhängigkeitsmanager sind wichtige Werkzeuge im Softwareentwicklungsprozess und ermöglichen die Validierung und kryptografische Signierung von Softwarepaketen. Eine solche Tool-Korruption hat offensichtlich enorme (und schlimme) Auswirkungen auf weite Teile des Webs.
Cocoapods Insekten gefunden von Forschern von EVA Information Security, einem Unternehmen für Cybersicherheit und Penetrationstests. Der Fehler ist das Ergebnis einer unvollständigen Cocoapods-Servermigration im Jahr 2014, die dazu führte, dass Tausende von Softwarepaketen „strandeten“. Aufgrund von Sicherheitsmängeln im System könnten diese Pakete leicht von Kriminellen übernommen und (hypothetisch) für Angriffe auf die Lieferkette verwendet werden, die bösartige Code-Updates für von ihnen abhängige Unternehmenssoftwareprojekte einschleusen könnten. Die Forscher beschreiben die Situation so:
Der Migrationsprozess von 2014 hinterließ Tausende verwaister Pakete (deren ursprüngliche Besitzer unbekannt sind), von denen viele immer noch in anderen Bibliotheken häufig verwendet werden. Durch die Verwendung der öffentlichen API und E-Mail-Adressen, die im CocoaPods-Quellcode verfügbar sind, könnte ein Angreifer den Besitz eines dieser Pakete beanspruchen, was es dem Angreifer dann ermöglichen würde, den ursprünglichen Quellcode durch seinen eigenen Schadcode zu ersetzen … Die von uns entdeckte Schwachstelle könnte sein Wird verwendet, um die Kontrolle über diesen Abhängigkeitsmanager selbst und alle veröffentlichten Pakete zu übernehmen. Downstream-Abhängigkeiten können dazu führen, dass in den letzten Jahren Tausende von Anwendungen und Millionen von Geräten offengelegt wurden.
Alle drei Fehler wurden behoben, aber ihre Schwere und die Tatsache, dass sie neun Jahre lang offen blieben, müssen viele Softwareteams schlaflos gemacht haben. Der Grund, warum Apple in diesem Schlamassel im Mittelpunkt steht, liegt darin, dass viele iOS- und MacOS-Apps mit beiden Codes codiert sind Schnell Und Ziel-C Sprache, daher sind sie sehr anfällig für bestehende Probleme. Die Forscher schrieben, dass der Fehler „Tausende“ oder „Millionen“ Apps betreffen könnte und dass „ein Angriff auf das mobile App-Ökosystem nahezu jedes Apple-Gerät infizieren und Tausende von Organisationen einem enormen finanziellen und Reputationsschaden aussetzen könnte.“
Die Forscher sagten, sie hätten keine Beweise dafür gesehen, dass die App tatsächlich kompromittiert worden sei. Wenn man jedoch wirklich kompromittiert ist, kann dies natürlich zu großen Problemen für die Benutzer führen. Die Forscher stellten fest, dass ein Cyberkrimineller über einen kompromittierten Pod Code in die App einschleusen könnte, da viele Apps „auf die sensibelsten Informationen eines Benutzers zugreifen können: Kreditkartendaten, Krankenakten, persönliche Materialien“, wodurch er „für fast jeden auf diese Informationen zugreifen kann“. schändliche Absicht, die man sich vorstellen kann – Ransomware, Betrug, Erpressung, Wirtschaftsspionage.“
Forscher haben Unternehmensentwickler aufgefordert, ihre Produkte zu überprüfen und „die Integrität der in ihrem Anwendungscode verwendeten Open-Source-Abhängigkeiten zu überprüfen“ und so sicherzustellen, dass ihre Systeme und Kunden nicht offengelegt werden.
Das Sicherheitslücken, die in Open-Source-Software auftreten können bereits weithin bekannt. Die kommerzielle Softwareindustrie verlässt sich bei der Entwicklung ihrer kommerziellen Produkte auf FOSS, aber es wird nur wenig Zeit darauf verwendet, das Ökosystem der freien Software, auf dem das gesamte Internet basiert, zu stärken und zu sichern. Das Endergebnis war erwartungsgemäß nicht gut.
Gizmodo hat Apple um einen Kommentar gebeten und wird diese Geschichte aktualisieren, wenn es eine Antwort gibt.
