I ricercatori di EVA Information Security hanno scoperto vulnerabilità di sicurezza che interessano tre milioni di applicazioni iOS e macOS. Come riporta Ars Technica, le vulnerabilità risiedono all’interno Baccelli di cacao, uno strumento open source che permette di gestire librerie esterne durante lo sviluppo di un’applicazione per iPhone o Mac. Molto apprezzato dagli sviluppatori, semplifica l’integrazione e l’aggiornamento di componenti di terze parti nelle applicazioni. Conto CocoaPods “circa 100.000 librerie utilizzate in oltre 3 milioni di applicazioni”.
Leggi anche: Gli ultimi processori Intel sono vulnerabili a un nuovo tipo di attacco informatico
Dati sensibili messi a rischio
Sfruttando le violazioni è possibile orchestrare un cosiddetto attacco la catena di fornitura. Questo tipo di attacco comporta la compromissione di un sistema infiltrandosi in software, hardware o servizi forniti da terze parti. Invece di attaccare direttamente l’obiettivo principale, gli hacker sfruttano le vulnerabilità dei suoi fornitori o partner. Questo è quello che è successo durante l’hacking MOVEit l’anno scorso. In questo caso gli hacker non attaccano le applicazioni, bensì i CocoaPods.
Secondo i ricercatori, il fallimento principale risiede nel meccanismo di verifica della posta elettronica, utilizzato per autenticare gli sviluppatori di librerie esterne. Questo sistema è progettato per inviare un collegamento di verifica all’indirizzo email fornito da uno sviluppatore. Sfortunatamente, la vulnerabilità lasciava la possibilità a un utente malintenzionato di manipolare l’URL del collegamento di verifica per reindirizzare lo sviluppatore su un server dannoso, sotto il suo controllo. L’attaccante quindi inganna il suo bersaglio per ottenere l’accesso alla biblioteca. Può inserire codice dannoso per sferrare attacchi informatici su larga scala. In totale, tre difetti distinti sono stati scoperti. Anche le altre due violazioni hanno comportato l’iniezione di codice.
“Gli aggressori che si infiltrano nei server o negli account degli sviluppatori di questi strumenti potrebbero inviare aggiornamenti dannosi che si diffondono ampiamente”riassume EVA Information Security.
Al termine dell’offensiva l’attaccante può mettere le mani avanti dati sensibili dall’applicazione, come numeri di carta di credito, informazioni mediche o altri dati personali. Queste informazioni sono preziose per un criminale informatico. Permettono di effettuare altri attacchi informatici, rapinare conti bancari, distribuire ransomware o addirittura usurpare l’identità degli utenti di Internet.
Dieci anni di vulnerabilità
Secondo i ricercatori, le falle nella sicurezza sono rimase a bocca aperta per quasi dieci anni. La vulnerabilità è apparsa nel 2014 durante un “processo migratorio”. Per un decennio, gli hacker hanno potuto aggiungere impunemente codice dannoso alle applicazioni, mettendo a rischio milioni, se non miliardi, di utenti dei prodotti Apple.
La vulnerabilità è stata scoperta lo scorso ottobre. Allertati dai ricercatori di EVA Information Security, CocoaPods ha prontamente adottato misure per correggere la situazione. In un post sul blog, i funzionari indicano di essersi presi cura di loro “correggere questi problemi non appena si presentano”. In particolare, lo hanno fatto “cancellato tutte le chiavi di sessione per garantire che nessuno potesse accedere agli account senza prima avere il controllo dell’indirizzo email registrato”.
Non vi è alcuna indicazione che le falle siano state sfruttate dagli hacker. Tuttavia, “Solo perché non è stato dimostrato non significa che non sia successo”, ammette Orta Therox, responsabile di CocoaPods. Sulla stessa linea lo aggiungono i ricercatori di EVA Information Security “la prova dell’assenza non è l’assenza di prova”.
Per non perdere nessuna novità di 01net, seguici su Google News e WhatsApp.
Fonte :
Sicurezza delle informazioni EVA
