Enkele recent ontdekte bugs in CocoaPods hebben ervoor gezorgd dat ongeveer drie miljoen iOS-apps tien jaar lang misbruikt konden worden door hackers. Er is geen duidelijke aanwijzing dat dat ook gebeurd is.
Beveiligingsonderzoekers ontdekten eind vorig jaar enkele gevaarlijke bugs in het CocoaPods-repositorium. Die konden hackers misbruiken om de code van miljoenen applicaties aan te passen, al is er op dit moment geen indicatie dat een dergelijke aanval heeft plaatsgevonden.
CocoaPods huisvest opensource Swoft- en Objective—C-projecten. Pakketjes code of Pods worden door ontwikkelaars in apps geïntegreerd, waarna updates automatisch worden doorgevoerd. De code in een pod is zo sterk verweven met de applicatie die erop vertrouwd. Die applicaties draaien op hun beurt op iPhones, waar ze eventueel hoge rechten hebben, met toegang tot gevoelige informatie zoals persoons- of kaartgegevens.
Toegang voor hackers
Onderzoekers van EVA Information Security stelden eind vorig jaar vast dat er enkele gaten in de beveiliging van CocoaPods zelf zaten. Zo konden aanvallers in sommige gevallen authenticatie omzeilen, of mails naar ontwikkelaars manipuleren om zo sessie-tokens te stelen. Daarmee konden ze dan weer aan de slag vermomd als ontwikkelaar, met toegang tot diens pods.
In theorie was het tien jaar lang mogelijk voor hackers om legitieme pods van ontwikkelaars stiekem aan te passen en malafide code toe te voegen. Die zou in zo’n geval vrijwel automatisch uitgerold worden naar apps van nietsvermoedende gebruikers.
CocoaPods heeft de lekken intussen gedicht en alle sessietokens gereset. De organisatie denkt niet dat de kwetsbaarheden in de praktijk misbruikt zijn, maar raadt ontwikkelaars toch aan om te controleren of de Pods of het platform authentiek zijn.
Grote impact
Het lijkt erop dat iedereen er collectief goed vanaf gekomen is deze keer. Het potentieel van de lekken was immers groot. CocoaPods is een deel van de toeleveringsketen voor apps. Wie daar een populaire en veelgebruikte Pod kan aanpassen, valt niet één ontwikkelaar aan maar honderdduizenden apps in één keer. Om de impact van zo’n aanval te bevatten, kan je terugkijken naar Log4Shell en Log4J.