Allarme sicurezza Apple: milioni di app a rischio da 10 anni
Un nuovo rapporto degli esperti di sicurezza informatica di EVA Information Security ha rivelato che milioni di app per iPhone e Mac sono rimaste vulnerabili agli attacchi hacker per quasi un decennio a causa di gravi difetti nel repository open source CocoaPods.
CocoaPods è una delle librerie di codice più utilizzate dagli sviluppatori Apple per creare le loro applicazioni. Purtroppo, il team di EVA ha scoperto ben tre vulnerabilità critiche nel sistema, una delle quali ha raggiunto il punteggio massimo di 10 sulla scala di severità CVSS.
La prima falla, denominata CVE-2024-38368 e con un punteggio CVSS di 9,3, permette agli aggressori di ottenere il controllo di pacchetti software attraverso il processo “Claim Your Pods”. Per sfruttarla, è sufficiente che il malintenzionato rimuova tutti i precedenti sviluppatori dal progetto.
Questo problema risale addirittura al 2014, quando una migrazione al server Trunk ha lasciato migliaia di pacchetti senza proprietario, permettendo a utenti senza scrupoli di prenderne il controllo usando l’API pubblica e gli indirizzi email.
Leggi anche:
La seconda vulnerabilità, CVE-2024-38366, ha ricevuto il punteggio massimo di 10 ed è legata a un meccanismo di verifica email non sicuro, che consente l’esecuzione di codice sul server e la sostituzione dei pacchetti target.
Infine, la CVE-2024-38367 con un punteggio di 8,2 permette la manipolazione del processo di verifica email, redirigendo le richieste a domini dannosi per rubare i token di sessione. Questo può portare ad attacchi anche senza alcuna azione da parte dell’utente finale.
Nonostante il team di CocoaPods abbia rilasciato patch correttive per queste vulnerabilità nell’ottobre 2023 e abbia ripristinato tutte le sessioni utente per prevenire possibili attacchi, questa grave situazione di rischio è rimasta ignota fino all’inizio di luglio 2024.
Milioni di applicazioni per dispositivi Apple, tra cui iPhone, iPad e Mac, sono quindi rimaste esposte a queste minacce per quasi un decennio, mettendo a repentaglio la sicurezza degli utenti. Questo caso sottolinea l’importanza di una maggiore attenzione alla qualità e all’aggiornamento tempestivo delle librerie software open source utilizzate dagli sviluppatori.
Ti potrebbe interessare:
Segui guruhitech su:
- Google News: bit.ly/gurugooglenews
- Instagram: instagram.com/guruhitech_official
- Telegram: t.me/guruhitech
- Facebook: facebook.com/guruhitechweb
- Twitter: twitter.com/guruhitech1
- Threads: threads.net/@guruhitech_official
- Bluesky: bsky.app/profile/guruhitech.bsky.social
- GETTR: gettr.com/user/guruhitech
- Rumble: rumble.com/user/guruhitech
- VKontakte: vk.com/guruhitech
- MeWe: mewe.com/i/guruhitech
- Skype: live:.cid.d4cf3836b772da8a
- WhatsApp: bit.ly/whatsappguruhitech
Esprimi il tuo parere!
Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.
Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].