Aggiornamenti recenti Ottobre 4th, 2024 9:00 AM
Lug 04, 2024 Marina Londei In evidenza, News, RSS, Tecnologia, Vulnerabilità 0
Migliaia di dispositivi Apple sono vulnerabili ad attacchi supply chain a causa di alcune debolezze in CocoaPods: lo hanno scoperto i ricercatori di E.V.A. Information Security, i quali hanno evidenziato che le organizzazioni rischiano danni finanziari e reputazionali a causa di questi attacchi.
CocoaPods è un dependency manager open source per Swift e i progetti in Objective C. Il gestore si occupa di scaricare le librerie di cui hanno bisogno gli sviluppatori e verificarne l’integrità.
L’ecosistema però, a quanto pare, soffre di diverse vulnerabilità: il team di E.V.A. Information Security spiega che nel 2014 si è verificato un processo di migrazione dei pacchetti che ha lasciato però migliaia di essi “orfani”, senza un owner che li reclamasse, e molti di questi sono ancora ampiamente usati in altre librerie. Usando un’API pubblica e un indirizzo email trovati nel codice sorgente di CocoaPods, un attaccante può reclamare uno o più di questi pacchetti come suo e rimpiazzarne il codice sorgente con un payload malevolo.
Il team ha scoperto anche che il flusso di verifica di email è insicuro e può essere sfruttato per eseguire codice arbitrario sul server “Trunk” dell’ecosistema, consentendo a un attaccante di manipolare o rimpiazzare i pacchetti che vengono scaricati. Sono inoltre presenti delle configurazioni errate nei tool di sicurezza per l’email che permetterebbero a un attaccante di eseguire lo spoofing di un header HTTP ed eseguire un attacco zero-click per ottenere il token di verifica dell’account dello sviluppatore.
Infine, una quarta vulnerabilità consentirebbe a un attaccante di accedere al server Trunk di CocoaPods ed eseguire numerosi exploit di varia natura.
CocoaPods è molto popolare tra gli sviluppatori e molte delle librerie “orfane” sono presenti come dipendenze in progetti di grandi compagnie come Google, GitHub, Amazon, Dropbox e molte altre.
Secondo la stima dei ricercatori di E.V.A. Information Security, migliaia di dispositivi Apple sono vulnerabili ad attacchi supply chain e zero-click, ma il numero potrebbe arrivare anche a milioni di applicazioni. “Come con molti altri attacchi supply chain, le dipendenze opache nel codice closed-source rendono quasi impossibile capire il potenziale danno” spiegano i ricercatori.
Se è vero che molte applicazioni non accedono alle informazioni sensibili degli utenti, la possibilità di iniettare codice malevolo nelle app tramite le librerie senza owner permetterebbe agli attaccanti sostanzialmente di prendere il controllo del dispositivo e attaccare le vittime con ransomware, truffe e campagne di spionaggio nel caso di dispositivi aziendali.
È fondamentale che gli sviluppatori effettuino una review delle librerie in uso e validino i checksum dei pacchetti di terze parti; inoltre, è consigliabile effettuare delle scansioni periodiche delle librerie per individuare codice malevolo o modifiche sospette, e in generale limitare l’uso di pacchetti “orfani” o non più mantenuti.
Giu 27, 2024 0
Giu 14, 2024 0
Mag 14, 2024 0
Mar 26, 2024 0
Ott 04, 2024 0
Ott 03, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Set 24, 2024 0
Negli ultimi anni gli ambienti OT sono diventati sempre...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 02, 2024 0
Tra le minacce alla sicurezza aziendale, l’errore...Ott 02, 2024 0
I ricercatori di Bitsight TRACE hanno individuato alcune...