Forscher der Cybersicherheitsfirma EVA Information Security haben kürzlich drei gravierende Sicherheitslücken in CocoaPods entdeckt, einer weit verbreiteten Software für App-Updates auf iOS- und macOS-Geräten. Sie blieben fast ein Jahrzehnt lang unbemerkt.
Diese Schwachstellen hätten potenziell für Malware-Angriffe genutzt werden können und stellten somit eine erhebliche Bedrohung für die Sicherheit zahlreicher Apple-Geräte dar.
Die Probleme entstanden vermutlich im Mai 2014 nach einer CocoaPods-Migration, bei der Tausende von Paketen “verwaist” zurückgelassen wurden. CocoaPods, das bei iOS-Entwicklern sehr beliebt ist und von großen Unternehmen wie Google, GitHub, Amazon und Dropbox genutzt wird, wurde dadurch zu einem möglichen Einfallstor für Cyberkriminelle.
Als besonders gefährlich erwies sich die Schwachstelle CVE-2024-38368. Sie ermöglichte es jedem CocoaPods-Nutzer, die verwaisten Pakete zu beanspruchen. Böswillige Akteure hätten diese Pakete zur Verbreitung von Malware nutzen können.
Zu den potenziell betroffenen Apps gehörten namhafte Anwendungen wie Facebook, WhatsApp, Apple, Microsoft Teams, TikTok, Snapchat, Amazon, LinkedIn und Netflix.
Neben der Hauptschwachstelle identifizierten die Forscher zwei weitere Sicherheitslücken. CVE-2024-38366 ermöglichte die Ausführung von beliebigem Code auf dem Trunk-Server, während CVE-2024-38367 genutzt werden konnte, um Ziele zum Anklicken bösartiger Verifizierungslinks zu verleiten.
Das Ausmaß des Problems war beträchtlich: 685 Pods hatten eine explizite Abhängigkeit von einem verwaisten Pod, und die Forscher vermuten, dass Hunderte oder Tausende weitere in proprietären Codebasen betroffen waren. Glücklicherweise wurden die Schwachstellen im Oktober 2023 behoben, und bisher gibt es keine Hinweise auf eine Ausnutzung durch Angreifer.