Miljontals appar och program för Apples plattform exponerade för allvarliga säkerhetsbuggar

av | jul 2, 2024 | Bluesky, Mastodon, Säkerhet, Threads

De kallas Cocoapods och är kodbibliotek för Swift, Apples utvecklingsverktyg, och de används i miljontals appar och program för Apples plattform. Under flera år så innehöll de här programbiblioteken synnerligen allvarliga säkerhetsbuggar som inte åtgärdades förrän i slutet av förra året.

De tre buggarna upptäcktes inte förrän runt tio år efter det att kodbiblioteken lanserades vilket innebär att de har använts i ett mycket stort antal program och appar vilket i sin tur innebar att miljontals användare kunde ha exponerats för mycket allvarliga säkerhetsbuggar.

Det israeliska säkerhetsföretaget EvaSec har publicerat en rapport om de tre buggarna som gör det möjligt att ta över kontrollen över en app eller ett program, injicera skadlig kod och sedan stjäla användarens information.

”Många applikationer kan komma åt en användares mest känsliga information: kreditkortsuppgifter, medicinska journaler, privat material och mer”, skriver EVA Information Security, i rapporten.

Åtgärdades

Buggarna åtgärdades i oktober förra året men det betyder också att alla som använt de här kodbiblioteken måste uppdatera sina program och appar för att deras program inte ska vara sårbara för de här buggarna längre.

With about 100,000 libraries used in over 3 million mobile apps, CocoaPods is an open source dependency manager for Swift and Objective-C projects. Dependency managers such as CocoaPods and others (including NPM, Maven, and PyPI) play a critical role in open source software supply chains. By checksumming and cryptographically signing packages, they allow developers to verify the integrity and authenticity of the components they’re using. However, compromise of the dependency manager itself poses a severe threat. Attackers who infiltrate the servers or developer accounts of these tools could push malicious updates that spread widely.

As part of a red team exercise for a customer, we have discovered several critical vulnerabilities in the mechanisms used to manage packages and verify their owners on the CocoaPods server.

EVA Information Security

Den här allvarliga incidenten visar på baksidan med att utveckla och använda kodbilbiotek, färdiga delar, i en app och ett program. Samtidigt så är kodbibliotek, färdiga funktioner en verklighet i all utveckling av mjukvara. Det skulle ta alldeles för lång tid att skriva all kod, även kod för standardfunktioner.

Ett exempel:

De flesta appar och program ska kunna skicka data till en skrivarkö – för en utskrift. Det är en standardfunktion där kodbiliotek används. Detsamma för en lång rad standardfunktioner, visa tangentbordet i en app, kopiera och klistra in text och så vidare.

Tio år

Det anmärkningsvärda i det här sammanhanget är att buggarna förblev oupptäckta i över tio år – vilket också ledde till kodbilbioteken finns i så många appar och program – med buggarna.

Magasin Macken använder AI för att samla in information och underlag för de texter som publiceras. Vi använder även AI för att skapa bilder och illustrationer. Dessa märks alltid med att det är AI-bilder om bilderna är fotorealistiska. I förekommande fall så läggs även till länkar till källa och referenser till i texterna som alltid kontrolleras av en mänsklig skribent – som är den som skriver och redigerar alla texter till alla väsentliga delar. 

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: