Forscher haben schwerwiegende Sicherheitslücken in einem beliebten Paketmanager für iOS- und macOS-Entwickler entdeckt. Die Schwachstellen hätten es Angreifern ermöglicht, Schadcode in Millionen Apps für iPhone und Mac einzuschleusen.
Apple: Schwachstelle bedeutet Risiko für fast alle Produkte
Sicherheitsforscher haben eine beunruhigende Entdeckung gemacht: CocoaPods, ein weit verbreitetes Verwaltungswerkzeug für Millionen von iPhone-, Mac- und anderen Apps, wies offenbar über einen Zeitraum von etwa neun Jahren erhebliche Sicherheitslücken auf.
Die israelische Sicherheitsfirma Eva Security fand heraus, dass Angreifer theoretisch die Kontrolle über Bibliotheken – in der CocoaPods-Terminologie Pods genannt – übernehmen und Schadsoftware einschleusen konnten. Dies hätte weitreichende Supply-Chain-Angriffe ermöglicht (Quelle: Eva Security). CocoaPods wird von vielen großen Unternehmen wie Google, GitHub, Amazon und Dropbox verwendet.
Die gefundenen Schwachstellen betrafen insbesondere verwaiste Pods ohne eindeutigen Besitzer, die leicht übernommen werden konnten. Hinzu kamen eine unsichere E-Mail-Verifizierung, die die Ausführung von Code auf dem CocoaPods-Server ermöglichte, sowie die Möglichkeit, Entwicklerkonten über gefälschte HTTP-Header zu übernehmen.
Diese Schwachstellen hätten es Angreifern ermöglicht, Schadcode in beliebte Apps einzuschleusen, so Eva Security. Millionen von Nutzern waren zumindest potenziell betroffen, deren sensible Daten wie Kreditkarteninfos gefährdet gewesen seien.
Das steckt hinter den Protesten gegen Apple:
iOS und macOS: Aktuell keine Gefahr
Für Nutzer von iOS- und macOS-Geräten besteht nach Einschätzung der Sicherheitsforscher derzeit kein Handlungsbedarf. Dennoch empfehlen sie allen iOS- und macOS-Entwicklern dringend, ihre Abhängigkeitslisten und die verwendeten Paketmanager zu überprüfen. Verwaiste Pakete sollten vermieden und regelmäßige Scans auf verdächtigen Code durchgeführt werden.
