El fallo de seguridad de CocoaPods deja expuestas más de 3 millones de apps

Más de 3 millones de aplicaciones de iOS y macOS han estado en riesgo durante diez años por la vulnerabilidad detectada en el repositorio de código abierto.

Guardar

El fallo en CocoaPods deja expuestas 3 millones de apps
El fallo en CocoaPods deja expuestas 3 millones de apps

Crece el temor entre los usuarios por los posibles efectos de la violación de seguridad no detectada hasta ahora en CocoaPods, administrador de dependencias que acoge bibliotecas de códigos para proyectos Swift y Objective-C con el objetivo de desarrollar aplicaciones. Estas vulnerabilidades podrían haber afectado, entre otras aplicaciones, a TikTok, LinkedIn, Microsoft Teams o Facebook Messenger.

La investigación realizada por EVA Information Security ha descubierto un problema crítico que podría haber facilitado la entrada de código malicioso y la obtención de datos confidenciales del usuario. Son más de 3 millones de aplicaciones de iOS y macOS las que han podido verse comprometidas

Los ciberdelincuentes han tenido durante 10 años la puerta abierta para manipular el enlace de verificación y así redirigir a un servidor malicioso el código preciso para obtener acceso a detalles de tarjetas de crédito o información médica.

Otros fallos

CocoaPods sostiene que la vulnerabilidad se solucionó en octubre del año pasado. Apareció este fallo en 2014 en los servidores “troncales” de CocoaPods, después de un proceso de migración. Los investigadores revelaron que los hackers pudieron utilizar API y direcciones de correo electrónico, ambas disponibles en el código fuente de CocoaPods, para reclamar la propiedad del pod, y así sustituir el código fuente original con su código fuente malicioso.

No es la primera ocasión en que CocoaPods se ha sometido a un análisis por fallos de seguridad. En 2021, se descubrió que los paquetes maliciosos publicados en administradores de dependencias podrían permitir la ejecución de código arbitrario en los servidores a causa de problemas de ejecución remota de código (RCE), lo que comprometía potencialmente millones de aplicaciones.