数百万 Apple 应用程序易受 CocoaPods 攻击

许多 macOS 和 iOS 应用程序都存在 CocoaPods（一个开源依赖管理器）中的漏洞， EVA信息安全 于 7 月 1 日披露。自 EVA 首次发现该漏洞以来，该漏洞已得到修补，并且尚未发生与该漏洞明确相关的攻击。

然而，这个案例很有意思，因为这个漏洞长期未被发现，并凸显了开发人员应该如何谨慎使用开源库。这个漏洞提醒开发人员和 DevOps 团队检查其组织的任何设备是否可能受到影响。

EVA 表示，“数千个应用程序和数百万台设备”可能会受到影响。安全团队表示，他们在“Meta（Facebook、Whatsapp）、Apple（Safari、AppleTV、Xcode）和 Microsoft（Teams）提供的应用程序的文档或服务条款文档中，以及 TikTok、Snapchat、Amazon、LinkedIn、Netflix、Okta、Yahoo、Zynga 等中发现了易受攻击的 CocoaPods pod。”

EVA 报告了 CocoaPods 的漏洞 2023 年 10 月，此时它已得到修补。

EVA 信息安全写道：“CocoaPods 团队对漏洞做出了负责任且迅速的响应。”

源自 CocoaPods 的漏洞

CocoaPods 是 Swift 和 Objective-C 项目的依赖管理器，它可以验证开源组件的合法性。EVA Information Security 最初并没有寻找 CocoaPods 中的漏洞；相反，该团队在为客户进行红队测试时发现了这些漏洞。

查看：CISA 建议对开源项目使用内存安全的编程语言。

EVA 报告了导致漏洞的几个原因。首先，CocoaPods 于 2014 年从 GitHub 迁移到“主干”服务器，但 pod 所有者需要手动收回其位置。其中一些人没有这样做，留下 1,866 个“孤儿”pod 在接下来的 10 年里无人问津。任何人都可以通过电子邮件向 CocoaPods 索取这些 pod，这将允许攻击者注入恶意内容。

其次，攻击者可以利用不安全的电子邮件验证流程在“主干”服务器上运行恶意代码。然后，他们可以操纵或替换从该服务器下载的软件包。

第三，攻击者可以通过伪造 HTTP 标头并利用配置错误的电子邮件安全工具来窃取帐户验证令牌。然后，他们可以使用该令牌更改 CocoaPods 服务器上的软件包，这可能会导致供应链和零日攻击。

开发人员和 DevOps 团队可以采取哪些措施来缓解 CocoaPods 漏洞

CocoaPods 漏洞提醒开发人员和 DevOps 团队不要忘记依赖项管理器，它可能是供应链安全中的潜在薄弱环节。为了处理 CocoaPods 漏洞，开发人员和 DevOps 团队应仔细检查其应用程序代码中使用的开源依赖项。

EVA建议：

• 如果您使用的软件依赖于孤立的 CocoaPods 包，请将您的 podfile.lock 文件与所有 CocoaPods 开发人员同步，以确保每个人都使用相同版本的包。
• 检查应用程序中使用的依赖列表和包管理器。
• 验证第三方库的校验和。
• 定期扫描外部库，尤其是 CocoaPods，以检测恶意代码或可疑更改。
• 保持软件更新。
• 限制使用孤立或无人维护的 CocoaPods 包。
• 警惕像 CocoaPods 这样广泛使用的依赖项的潜在利用。