Yeni keşfedilen CocoaPods güvenlik açıkları, en yaygın kullanılan web ve sosyal medya uygulamalarından bazılarını tehdit ediyor olabilir. Bu uygulamalar arasında potansiyel olarak milyonlarca Apple cihazı da yer alıyor. CocoaPods güvenlik açıkları, kötü niyetli kişilerin binlerce talep edilmemiş podu ele geçirmesine ve en popüler iOS ve macOS uygulamalarının çoğuna kötü amaçlı kod eklemesine olanak tanıyabilirve potansiyel olarak “neredeyse tüm Apple cihazlarını” etkileyebilir.
CocoaPods güvenlik açıkları için açıklama
EVA Information Security araştırmacıları, açık kaynaklı CocoaPods bağımlılık yöneticisindeki üç güvenlik açığının Meta (Facebook, Whatsapp), Apple (Safari, AppleTV, Xcode) ve Microsoft (Teams) tarafından sağlanan uygulamalarda; ayrıca TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga ve daha birçok uygulamada mevcut olduğunu buldu.
Güvenlik açıkları kapatıldı. Ancak araştırmacılar halen bir Pod kullanarak açık bir bağımlılığa sahip olan 685 Pod buldu. Yeni keşfedilen güvenlik açıkları (bunlardan biri (CVE-2024-38366) 10 üzerinden 10 kritiklik puanı aldı) aslında Mayıs 2014’te CocoaPods’un yeni bir ‘Trunk’ sunucusuna taşınmasından kaynaklanıyor. Bu taşımada, sahiplerinin asla geri alamadığı 1.866 yetim pod kalmıştı. Diğer iki CocoaPods güvenlik açığı (CVE-2024-38368 ve CVE-2024-38367) da bu geçişten kaynaklanmaktadır.
CVE-2024-38368 için araştırmacılar, ‘Trunk’ sunucusunun kaynak kodunu analiz ederken, tüm yetim pod’ların varsayılan bir CocoaPods sahibiyle ilişkilendirildiğini ve bu varsayılan sahip için oluşturulan e-postanın [email protected] olduğunu fark ettiklerini söylediler. Ayrıca, bir pod’u talep etmek için genel API uç noktasının hala mevcut olduğunu ve API’nin “herhangi bir sahiplik doğrulama süreci olmadan herkesin yetim pod’ları talep etmesine izin verdiğini” fark ettiler.
Reef Spektor ve Eran Vaknin, “Genel erişime açık API’ye doğrudan bir curl isteği göndererek ve talep edilmeyen hedeflenen pod adını sağlayarak, potansiyel bir saldırganın bu yetim Pod’ların herhangi birini veya tamamını kendi pod’u olarak talep etmesinin yolu açıldı” diye yazdı.
Bir saldırgan bir Pod’u ele geçirdiğinde, kaynak kodunu manipüle edebilir veya Pod’a kötü amaçlı içerik ekleyebilir. 2014’ün başlarında, kayıtlı e-postalar için MX kayıt doğrulamasını uygulayan CocoaPods ‘Trunk’ kaynak koduna bir değişiklik yapıldı. Değişiklikler, kayıt akışını analiz ederek tanımlanan yeni bir saldırı yolu oluşturdu ve CVE-2024-38366 güvenlik açığına yol açtı. Değişiklikler, kullanıcı tarafından sağlanan e-posta adresi için üçüncü taraf Ruby gem paketi rfc-822’yi kullanarak yeni bir doğrulama süreci oluşturdu ve bu, birkaç şekilde saldırıya uğrayabilir ve potansiyel olarak “pod sahiplerinin oturum belirteçlerini boşaltabilecek, istemcinin trafiğini zehirleyebilecek veya hatta sunucuyu tamamen kapatabilecek” saldırılara yol açabilir.
