Eine Reihe neu entdeckter Schwachstellen in einem weit verbreiteten Open-Source-Dienstprogramm könnte große Probleme für große Teile der iOS- und MacOS-Ökosysteme bedeuten. Die betreffenden Fehler könnten Tausende weit verbreiteter Apps betreffen, darunter beliebte Programme wie TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger und viele andere, heißt es in einer Meldung. Zugehörige Sicherheitsforschung. Während für die Open-Source-Komponenten selbst gepatcht wurden, bemühen sich die DevOps-Teams der betroffenen Apps sicherlich darum sicherzustellen, dass ihre Systeme ordnungsgemäß aktualisiert werden, um die Benutzer vor potenzieller Ausnutzung zu schützen.
Die Schwachstellen wurden entdeckt in Kakaofrüchte, ein Abhängigkeitsmanager, der häufig für Softwareprojekte verwendet wird, die in den Programmiersprachen Swift und Objective-C codiert sind. Abhängigkeitsmanager sind wichtige Tools im Softwareentwicklungsprozess, da sie die Validierung und kryptografische Signierung von Softwarepaketen ermöglichen. Die Beschädigung eines solchen Tools hat offensichtlich große (und schlimme) Auswirkungen auf weite Teile des Internets.
Die Kokosnusskäfer wurden entdeckt von Forschern von EVA Information Security, einem Unternehmen für Cybersicherheit und Pentesting. Die Bugs sind das Ergebnis einer unvollständigen Cocoapods-Servermigration die 2014 stattfand und dabei Tausende von Softwarepaketen „verwaist“ hat. Aufgrund der Sicherheitsmängel in der Software wurde das Softwarepaket verwaist und verworfen . Diese Pakete hätten leicht von einem böswilligen Akteur beschlagnahmt und (hypothetisch) dafür verwendet werden können, um Angriffe auf die Supply-Chain zu verüben, die bösartige Code-Updates in die auf sie vertrauenden Unternehmenssoftwareprojekte einführen könnten. Forscher beschreiben die Situation wie folgend:
Ein Migrationsprozess im Jahr 2014 hinterließ Tausende verwaister Pakete (bei denen der ursprüngliche Besitzer unbekannt ist), von denen viele noch immer in anderen Bibliotheken weit verbreitet sind. Mithilfe einer öffentlichen API und einer E-Mail-Adresse, die im CocoaPods-Quellcode verfügbar war, konnte ein Angreifer den Besitzanspruch auf jedes dieser Pakete geltend machen, wodurch alle So kann der Angreifer den ursprünglichen Quellcode durch seinen schadhaften Code ersetzen… Die von uns entdeckten Schwachstellen könnten dazu verwendet werden, um den Abhängigkeitsmanager selbst und alle veröffentlichten Pakete zu steuern. Downstream-Abhängigkeiten könnten bedeuten, dass im letzten Jahr Tausende von Anwendungen und Millionen von Geräten offengelegt wurden.
Alle drei Bugs wurden inzwischen behoben, aber ihre Schwere und die Tatsache, dass sie bis zu neun Jahre lang ungeschützt blieben, bereiten vielen Softwareteams sicherlich schlaflose Nächte. Der Grund, warum Apple bei diesem Schlamassel so weit vorne mit dabei ist, ist, dass viele iOS- und MacOS-Apps sowohl mit der gleichen Technologie codiert sind. Schnell und Ziel c Sprachen, was sie besonders anfällig für die Probleme macht. Forscher schreiben, dass die Fehler entweder „Tausende“ oder „Millionen“ von Apps betreffen könnten, und dass ein „Angriff auf das Ökosystem der mobilen Apps fast jedes Apple-Gerät infizieren könnte, wodurch Tausende von Organisationen katastrophalen finanziellen Schäden und einem Reputationsschaden anfällig sind.“
Forscher sagen, sie hätten bisher keine Beweise dafür gesehen, dass Apps tatsächlich kompromittiert wurden. Sollte dies jedoch der Fall sein, könnte dies für die Benutzer offensichtlich große Probleme bedeuten. Die Forscher weisen darauf hin, dass ein Cyberkrimineller über die kompromittierten Pods Code in die Apps einschleusen könnte, da viele Apps „auf die sensibelsten Informationen eines Benutzers zugreifen können: Kreditkartendaten, Krankenakten, private Materialien“. Dadurch könnten sie „auf diese Informationen zugreifen und nahezu jeden erdenklichen böswilligen Zweck verfolgen – Ransomware, Betrug, Erpressung, Wirtschaftsspionage.“
Forscher haben Unternehmensentwickler aufgefordert, ihre Produkte zu überprüfen und „die Integrität der in ihrem Anwendungscode verwendeten Open-Source-Abhängigkeiten zu verifizieren“ und so sicherzustellen, dass ihre Systeme und ihre Kunden nicht gefährdet werden.
Die Sicherheitsmängel, die bei Open-Source-Software auftreten können sind bekannt. Die kommerzielle Softwareindustrie verlässt sich bei der Entwicklung ihrer kommerziellen Produkte auf FOSS, jedoch wird wenig Zeit darauf verbracht, das Ökosystem der freien Software zu unterstützen und sichern, auf dem das gesamte Internet aufbaut. Die Endergebnisse sind vorhersehbar nicht gut.
Gizmodo hat Apple um einen Kommentar gebeten und wird diese Geschichte aktualisieren, falls es eine Antwort gibt.
