Milhares de aplicativos iOS e macOS ficaram vulneráveis a ataques à cadeia de suprimentos por quase uma década, relataram pesquisadores no início desta semana. A violação estava contida no gerenciador de dependências de código aberto CocoaPods.
A descoberta foi divulgada pela EVA Information Security, empresa israelense especializada em segurança cibernética. Ó CocoaPods é usado para manter cerca de 3 milhões de aplicativos desenvolvido em Swift e Objective-C para computadores Mac e iPhones.
Segundo o artigo, em 2014, o CocoaPods transferiu todos os “Pods” (arquivo que descreve as dependências de um projeto) para um “Trunk Server” hospedado no GitHub. No processo, todos os arquivos ficaram sem dono e cabia aos desenvolvedores recuperar o controle sobre eles, mas nem todos se deram ao trabalho de protegê-los.
Aplicativos que dependiam do CocoaPods para gerenciamento de dependências poderiam estar expostos a ataques.Fonte: GettyImages
Como resultado dessa negligência, 1.870 Pods foram deixados de lado — portanto, “órfãos”. Isso deixa a porta aberta para que um invasor interessado aproveite o Pod, insira código pessoal malicioso no aplicativo e adicione mais dependências ao software, como malware, ransomware ou spyware.
“Muitos aplicativos podem acessar as informações mais confidenciais de um usuário: detalhes de cartão de crédito, registros médicos, materiais privados e muito mais”, descreve o grupo. “A injeção de código nessas aplicações pode permitir que os invasores acessem essas informações para quase todos os fins maliciosos imagináveis – ransomware, fraude, chantagem, espionagem corporativa. No processo, pode expor as empresas a grandes responsabilidades legais e riscos de reputação”, acrescenta.
A falha foi catalogada no banco de dados Common Vulnerabilities and Exposures (CVE) sob o identificador CVE-2024-38368 com classificação CVSS de 9,3 (escala de importância da vulnerabilidade), sendo considerada uma falha de nível crítico.
Mais de uma falha no CocoaPods
Além da brecha com os Pods abandonados, outra vulnerabilidade de nível crítico foi encontrada no CocoaPods. Neste caso, catalogado como CVE-2024-38366 e avaliado com CVSS 10.0 (maior importância possível).
Nesse caso, a violação permite a execução remota de código no servidor Trunk por meio de uma troca de verificação de e-mail em um pacote Ruby RFC822 vulnerável.
Para evitar riscos, mantenha seus aplicativos atualizados. (Imagem: Getty Images)Fonte: GettyImages
Por fim, há uma terceira violação, a CVE-2024-38367 no nível CVSS 8.2, que possibilita o roubo de tokens de validação de sessão de um aplicativo de verificação de e-mail.
Como se proteger?
A Divulgação de brechas é importante para alertar desenvolvedores que utilizam CocoaPods como gerenciador de dependências. Agora cabe a eles implementar correções para proteger seus usuários.
Para conseguir isso, uma das medidas é avaliar todas as dependências do CocoaPods para verificar se há discrepâncias, garantir que todas as dependências de terceiros sejam adequadas e verificar se há alterações indevidas no código do app.
Quanto aos usuários, não há muito que possam fazer. Como sempre, o dica principal é manter todos os aplicativos atualizados na versão mais recente.
empréstimo consignado descontado em folha de pagamento
zap empréstimo
simular empréstimo fgts bradesco
empréstimo auxílio brasil 2023
limite para empréstimo consignado
nova margem consignavel
empréstimo em belo horizonte
