EVA Information Security ha scoperto un’importante vulnerabilità vecchia di 10 anni nelle app iOS e macOS che avrebbe potuto consentire il furto di molti dati degli utenti.
Ciò è stato affermato in una relazione da lui presentata La sicurezza delle informazioni in EVA Abbiamo appreso che quasi 3 milioni di app su iOS e macOS sono rimaste vulnerabili per 10 anni a una grave vulnerabilità di sicurezza. La colpa è dell’host del codice open source CocoaPods.
Progetto open source
Molte applicazioni offrono funzionalità simili che, ovviamente, funzionano con codice simile. Pertanto, molti sviluppatori utilizzano librerie di codici open source per ripristinare queste funzioni di base o funzioni avanzate al di fuori delle loro competenze. È qui che entrano in gioco i Cocoapods.
Questo servizio, lanciato nel 2011, permette di trovare librerie “pod” dove è possibile ottenere il codice. Quando aggiorni, le applicazioni che utilizzano il suo codice si aggiornano automaticamente. I difetti rilevati da EVA Information Security risalgono al 2014 e riguardano una scarsa migrazione dei server.
Errore a cascata
I difetti del progetto sono molteplici. Il rapporto ci dice che questa migrazione incompleta dei server nel 2014 avrebbe lasciato migliaia di librerie di codice utilizzato senza proprietari. Quest’ultimo avrebbe potuto essere facilmente recuperato e, iniettandovi malware, ha avuto ripercussioni a cascata e automatiche su migliaia di applicazioni. A ciò si aggiungeva anche un problema con l’autenticazione e la verifica della posta elettronica non sicure che consentiva a utenti malintenzionati di reindirizzare l’URL a server non validi.
Questi difetti avrebbero potuto consentire alle persone di accedere a molti dati utente come i dettagli della carta di credito o le cartelle cliniche. Sono quindi liberi di immaginare usi come la frode, il ricatto o addirittura lo spionaggio industriale. Le aziende che utilizzano questi pezzi di codice sono esposte a molte conseguenze legali.
L’azienda vuole essere rassicurata e precisa, dopo aver comunicato appositamente con Cocoapods, che questi difetti sono stati corretti lo scorso ottobre. Tuttavia, EVA consiglia agli sviluppatori di controllare il codice delle loro librerie esterne.
“Creatore di problemi. Appassionato di social media. Appassionato di musica. Specialista di cultura pop. Creatore.”