Dependency-Manager: Lücken in Cocoapods gefährden nahezu jedes Apple-Gerät
Sicherheitsforscher des Cybersicherheitsunternehmens Eva Information Security haben mehrere kritische und teilweise rund ein Jahrzehnt alte Schwachstellen im Dependency-Management-Tool Cocoapods aufgedeckt. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) erklärten, war es Angreifern darüber möglich, Schadcode in viele der beliebtesten Anwendungen für iOS und MacOS einzuschleusen und damit so ziemlich jedes Apple-Gerät zu infiltrieren.
Eines der entdeckten Probleme (CVE-2024-38368(öffnet im neuen Fenster)) ist demnach auf einen im Jahr 2014 erfolgten Migrationsprozess zurückzuführen. Dabei setzte Cocoapods die Autorenschaft aller zuvor bereitgestellten Pods zurück. Entwickler wurden daraufhin aufgefordert, ihre eigenen Pods über eine dafür vorgesehene API wieder zu übernehmen.
Dieser Aufforderung kamen aber offenbar nicht alle nach. Es gibt noch heute 1.870 verwaiste Pods(öffnet im neuen Fenster), von denen einige nach Angaben der Forscher nach wie vor weit verbreitet sind. Diese hätten in den vergangenen Jahren von Angreifern jederzeit über die genannte API übernommen und für Supply-Chain-Angriffe ausgenutzt werden können.
Schadcodeausführung auf Trunk-Server von Cocoapods
Eine weitere Sicherheitslücke (CVE-2024-38366(öffnet im neuen Fenster)) bezieht sich auf den E-Mail-Verifizierungs-Workflow von Cocoapods. Nach Angaben der Eva-Forscher konnte die ebenfalls seit 2014 bestehende Lücke ausgenutzt werden, um beliebigen Code auf einem für die Verteilung von Podspec-Metadaten zuständigen Trunk-Server auszuführen und dadurch etwa heruntergeladene Pakete zu manipulieren oder den Server abzuschalten.
Hinzu kommt eine Zero-Click-Schwachstelle (CVE-2024-38367(öffnet im neuen Fenster)), mit der sich fremde Entwicklerkonten sowie alle damit verknüpften Pods vollständig übernehmen ließen. Möglich war das nach Angaben der Forscher durch Spoofing eines HTTP-Headers sowie die Ausnutzung falsch konfigurierter E-Mail-Sicherheitstools.
"Mit dieser Methode ist es uns gelungen, die Konten der Besitzer einiger der beliebtesten Cocoapods-Pakete zu übernehmen", teilten die Sicherheitsforscher mit. "Potenziell hätten wir diese Konten für äußerst folgenschwere Supply-Chain-Angriffe mit möglichen Auswirkungen auf das gesamte Apple-Ökosystem nutzen können."
Millionen von Apple-Geräten potenziell betroffen
Cocoapods beschreibt sich selbst auf seiner Webseite(öffnet im neuen Fenster) als Dependency-Manager für Swift- und Objective-C-Projekte, der für mehr als drei Millionen Apps verwendet werde. Die Eva-Forscher gehen davon aus, dass ihre Entdeckungen "einen erheblichen Prozentsatz" des Apple-Ökosystems betreffen – bestehend aus unzähligen iPhones, Macs, Apple Watches sowie Apple-TV-Geräten.
Durch entsprechende Supply-Chain-Angriffe sei es möglich, nahezu jedes Apple-Gerät mit Schadsoftware zu infizieren – mit enormen finanziellen und rufschädigenden Folgen für potenziell Tausende von Unternehmen. Auch Softwareprojekte namhafter Konzerne wie Google, Microsoft, Amazon, Meta, Dropbox, Tiktok, Netflix oder gar Apple selbst seien davon nicht ausgenommen. "Nachgelagerte Abhängigkeiten könnten bedeuten, dass Tausende von Anwendungen und Millionen von Geräten in den letzten Jahren gefährdet waren", betonten die Forscher.
Alle drei genannten Sicherheitslücken wurden schon im Oktober 2023(öffnet im neuen Fenster) von Cocoapods geschlossen. Hinweise darauf, dass die Schwachstellen von böswilligen Akteuren ausgenutzt wurden, gibt es bisher nicht. Entwicklern, die Cocoapods verwenden, wird dennoch empfohlen, ihre Projekte sowie deren Abhängigkeiten auf Auffälligkeiten zu untersuchen.
- Anzeige Hier geht es zum iPhone 17 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.