Un fallo de seguridad en CocoaPods, un popular repositorio de código abierto, ha puesto en riesgo la seguridad de millones de aplicaciones de iOS y macOS durante una década, según ha reportado Ars Technica.
Por qué es importante. CocoaPods es una herramienta esencial para desarrolladores de Apple. Les permite integrar fácilmente códigos de terceros en sus aplicaciones. Un fallo de seguridad en ella puede desencadenar una reacción en cadena, exponiendo potencialmente los datos personales de millones de usuarios.
Lo esencial. La vulnerabilidad, descubierta por investigadores de EVA Information Security, ha afectado a unas tres millones de apps de iOS y macOS. Lo más alarmante del fallo es que ha pasado una década sin ser detectado, algo que nos recuerda la importancia de auditorías de seguridad recurrentes incluso en sistemas aparentemente robustos.
El alcance potencial de este problema es enorme. Los investigadores advirtieron que la vulnerabilidad puede permitir a un atacante acceder a información sensible, como tarjetas de crédito, historial médico y otro tipo de contenido privado.
Cómo funciona. En el núcleo de esta vulnerabilidad hay un mecanismo inseguro de verificación del correo electrónico usado para autenticar a los desarrolladores de pods individuales. Los pods son los paquetes de código según el término que usa CocoaPods. El proceso funcionaba así:
- Un desarrollador introducía la dirección de correo asociada con su pod.
- El servidor de CocoaPods enviaba un enlace de verificación a esa dirección.
- Al pulsar ese enlace se concedía el enlace a la cuenta.
Un proceso muy extendido en muchos servicios. Los investigadores descubrieron que un atacante podía manipular la URL en el enlace de verificación para que apuntara a un servidor bajo su control. Explotando vulnerabilidades en el manejo de encabezados HTTP, el atacante podía engañar al sistema para que aceptase esa redirección maliciosa.
El contexto. Este incidente no es un caso aislado para CocoaPods. En 2021 tuvieron otra vulnerabilidad que permitiría a los repositorios ejecutar código arbitrario en los servidores que los gestionaban. Esto pudo utilizarse para reemplazar paquetes existentes por versiones maliciosas, introduciendo código dañino que terminara siendo distribuido a apps de iOS y macOS.
Son incidentes que recuerdan la necesidad de una vigilancia constante en la seguridad del software, especialmente en componentes críticos de la infraestructura de desarrollo. Como CocoaPods.
Próximos pasos. CocoaPods actuó rápido para mitigar riesgos en octubre de 2023, cuando EVA les comunicó el problema. Borraron todas las claves de sesión, implementaron un nuevo procedimiento para recuperar antiguos pods huérfanos y corrigieron las vulnerabilidades del sistema de autenticación.
En ese mes de octubre desde CocoaPods admitieron tanto el problema como el peor escenario potencial.
Los investigadores de EVA han lanzado varias recomendaciones para los desarrolladores que usan CocoaPods en sus apps:
- Revisar minuciosamente todas las dependencias.
- Hacer escaneos de seguridad regulares para detectar código malicioso de forma automática.
- Mantener actualizadas las herramientas a la última versión.
- Implementar prácticas de desarrollo seguro, como revisiones de código y auditorías de seguridad.
La cadena de suministro también existe en el mundo del software y también supone un riesgo para todo el bloque que un solo eslabón resulte débil. Para los propios desarrolladores y también para los usuarios.
Imagen destacada | Denis Cherkashin en Unsplash
En Xataka | Las tiendas alternativas en iOS tienen una ventaja aplastante sobre las de Android. Una que lo cambia todo
Ver 15 comentarios