Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Lug 04, 2024 Marina Londei In evidenza, News, RSS, Tecnologia, Vulnerabilità 0
Migliaia di dispositivi Apple sono vulnerabili ad attacchi supply chain a causa di alcune debolezze in CocoaPods: lo hanno scoperto i ricercatori di E.V.A. Information Security, i quali hanno evidenziato che le organizzazioni rischiano danni finanziari e reputazionali a causa di questi attacchi.
CocoaPods è un dependency manager open source per Swift e i progetti in Objective C. Il gestore si occupa di scaricare le librerie di cui hanno bisogno gli sviluppatori e verificarne l’integrità.
L’ecosistema però, a quanto pare, soffre di diverse vulnerabilità: il team di E.V.A. Information Security spiega che nel 2014 si è verificato un processo di migrazione dei pacchetti che ha lasciato però migliaia di essi “orfani”, senza un owner che li reclamasse, e molti di questi sono ancora ampiamente usati in altre librerie. Usando un’API pubblica e un indirizzo email trovati nel codice sorgente di CocoaPods, un attaccante può reclamare uno o più di questi pacchetti come suo e rimpiazzarne il codice sorgente con un payload malevolo.
Il team ha scoperto anche che il flusso di verifica di email è insicuro e può essere sfruttato per eseguire codice arbitrario sul server “Trunk” dell’ecosistema, consentendo a un attaccante di manipolare o rimpiazzare i pacchetti che vengono scaricati. Sono inoltre presenti delle configurazioni errate nei tool di sicurezza per l’email che permetterebbero a un attaccante di eseguire lo spoofing di un header HTTP ed eseguire un attacco zero-click per ottenere il token di verifica dell’account dello sviluppatore.
Infine, una quarta vulnerabilità consentirebbe a un attaccante di accedere al server Trunk di CocoaPods ed eseguire numerosi exploit di varia natura.
CocoaPods è molto popolare tra gli sviluppatori e molte delle librerie “orfane” sono presenti come dipendenze in progetti di grandi compagnie come Google, GitHub, Amazon, Dropbox e molte altre.
Secondo la stima dei ricercatori di E.V.A. Information Security, migliaia di dispositivi Apple sono vulnerabili ad attacchi supply chain e zero-click, ma il numero potrebbe arrivare anche a milioni di applicazioni. “Come con molti altri attacchi supply chain, le dipendenze opache nel codice closed-source rendono quasi impossibile capire il potenziale danno” spiegano i ricercatori.
Se è vero che molte applicazioni non accedono alle informazioni sensibili degli utenti, la possibilità di iniettare codice malevolo nelle app tramite le librerie senza owner permetterebbe agli attaccanti sostanzialmente di prendere il controllo del dispositivo e attaccare le vittime con ransomware, truffe e campagne di spionaggio nel caso di dispositivi aziendali.
È fondamentale che gli sviluppatori effettuino una review delle librerie in uso e validino i checksum dei pacchetti di terze parti; inoltre, è consigliabile effettuare delle scansioni periodiche delle librerie per individuare codice malevolo o modifiche sospette, e in generale limitare l’uso di pacchetti “orfani” o non più mantenuti.
Giu 27, 2024 0
Giu 14, 2024 0
Mag 14, 2024 0
Mar 26, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...