A
CocoaPods é uma plataforma de código aberto que permite aos desenvolvedores gerenciar bibliotecas ou "pods" que podem ser usados para desenvolver softwares para iOS, iPadOS, macOS e outros. A plataforma tem medidas de segurança, como assinatura de pacotes com criptografia para permitir aos desenvolvedores verificar a integridade e autenticidade dos componentes usados. No entanto, pesquisadores da E.V.A descobriram várias vulnerabilidades que deixaram expostos centenas ou milhares de pacotes a ataques maliciosos. Essas vulnerabilidades incluem a falta de verificação da autenticidade dos dados informados pelo autor na hora de fazer um cadastro no CocoaPods e a falta de reivindicação de pods órfãos por seus proprietários. Essas vulnerabilidades permitiram que um invasor reivindicasse pods órfãos como seus e manipulasse facilmente o código-fonte ou inserisse conteúdos maliciosos para infectar dependências inferiores, chegando a aplicativos populares e, portanto, atingindo uma grande porcentagem de dispositivos da Apple atualmente em uso. A E.V.A também descobriu que a autenticação do CocoaPods via servidor Trunk era vulnerável a ataques de phishing. A equipe do CocoaPods corrigiu todas as vulnerabilidades e recomendou medidas para eliminar suas consequências, incluindo a eliminação do uso de pods órfãos no desenvolvimento de apps para iOS, iPadOS e macOS e a verificação de segurança forte em pacotes que dependem deles.

Ver notícia completa...