La sicurezza di milioni di app iOS potrebbe essere stata compromessa a causa di una falla nel popolare gestore delle dipendenze CocoaPods.
Gli sviluppatori di software spesso si affidano a codice scritto da altre società o sviluppatori per accelerare lo sviluppo dei loro prodotti. Per facilitare la gestione del codice da altre fonti, note come dipendenze, gli sviluppatori utilizzano uno strumento chiamato gestore delle dipendenze. Lo stesso vale per lo sviluppo per le piattaforme Apple e il gestore delle dipendenze più popolare per le app iOS è CocoaPods.
Lo scorso lunedì, i manutentori del progetto hanno rilasciato una dichiarazione per spiegare che é stato scoperto un problema di sicurezza risalente al giugno 2015, dando agli aggressori tutto il tempo per approfittarne.
Il problema deriva dal fatto che un pacchetto dannoso pubblicato nel repository CocoaPods poteva eseguire codice arbitrario sui server che lo gestiscono. Questo pacchetto può essere utilizzato per sostituire quelli esistenti con versioni dannose con codice che potrebbe finire nelle app iOS e Mac utilizzate da milioni di persone in tutto il mondo.
Un esempio di un’app popolare che utilizza CocoaPods è Signal, un’app di messaggistica incentrata sulla privacy. Un attacco attentamente pianificato contro una delle dipendenze utilizzate da Signal potrebbe potenzialmente esporre i dati dell’utente. Questo è uno scenario improbabile, dato che le dipendenze utilizzate da Signal vengono controllate dal team di sviluppo dell’app, assicurando che nessuna includa codice dannoso o problemi di sicurezza. Tuttavia, non tutti gli sviluppatori hanno questa pratica quando lavorano con le dipendenze.
Non ci sono prove che la vulnerabilità sia stata sfruttata. Gli unici sviluppatori interessati dalla correzione saranno quelli che pubblicheranno i propri pacchetti su CocoaPods.