Millionen iOS- und MacOS-Apps über ein Jahrzehnt angreifbar
Es ist ein wichtiger Fund, über den Sicherheitsforscher berichten: In einem von MacOS- und iOS-Apps genutztem Server für ein beliebtes Open-Source-Code-Verzeichnis klaffte über ein Jahrzehnt eine Lücke. Die wurde geschlossen, steht aber für ein großes Problem.
Der Fehler ist auf das sogenannte CocoaPods-Ökosystem zurückzuführen, das von Millionen Apps für MacOS und iOS genutzt wird. Konkret soll der darin bereitgestellt Open-Source-Code für Swift und Objective-C-Projekte bei rund 3 Millionen Anwendungen zum Einsatz kommen. Die Sicherheitslücke selbst lässt sich wiederum auf einen Server zurückführen, der die einzelnen Codepakete bereitstellt und Anfragen von Entwicklern verarbeitet.
Die Forscher betonen, dass sie keine konkreten Hinweise auf Angriffe auf Basis der Lücke mit der Kennung CVE-2024-38367 haben. Ein Patch wurde bereits Ende letzten Jahres bereitgestellt. Da das Problem serverseitig gelöst wurde, sind keine Maßnahmen seitens der App-Entwickler oder der Nutzer der Apps erforderlich. Trotzdem verweist man auf mögliche Schritte, um die Sicherheit der eigenen Anwendung zu gewährleisten.
iOS-Apps werden immer komplexer und hängen zunehmend auch von Drittanbietern ab, das vergrößert auch die potenzielle Angriffsfläche immer weiter. Das Beispiel CocoaPods zeigt, dass auch weitverbreitete und vertrauenswürdige Paketmanager natürlich nicht vor Sicherheitslücken gefeit sind - und diese manchmal erst nach Jahren entdeckt werden. Das Einzige, was Entwicklern hier hilft, ist anhaltende Wachsamkeit, regelmäßige Sicherheitsprüfungen und klare Verfahren im Umgang mit Open-Source-Bibliotheken.
Siehe auch:
Sicherheitslücke in Open-Source-Verzeichnis
Open-Source-Bibliotheken und Frameworks machen mittlerweile oft einen enormen Teil des Codes von Anwendungen aus - bei vielen modernen Apps mehr als 80 Prozent der gesamten Codebasis. Und so werden Sicherheitslücken, die in diesen weitverbreiteten Verzeichnissen auftauchen, rasant zum Problem für Millionen Anwendungen. Sicherheitsforscher von EVA weisen jetzt auf Lücken hin, die über ein Jahrzehnt unentdeckt blieb.Der Fehler ist auf das sogenannte CocoaPods-Ökosystem zurückzuführen, das von Millionen Apps für MacOS und iOS genutzt wird. Konkret soll der darin bereitgestellt Open-Source-Code für Swift und Objective-C-Projekte bei rund 3 Millionen Anwendungen zum Einsatz kommen. Die Sicherheitslücke selbst lässt sich wiederum auf einen Server zurückführen, der die einzelnen Codepakete bereitstellt und Anfragen von Entwicklern verarbeitet.
Die Forscher betonen, dass sie keine konkreten Hinweise auf Angriffe auf Basis der Lücke mit der Kennung CVE-2024-38367 haben. Ein Patch wurde bereits Ende letzten Jahres bereitgestellt. Da das Problem serverseitig gelöst wurde, sind keine Maßnahmen seitens der App-Entwickler oder der Nutzer der Apps erforderlich. Trotzdem verweist man auf mögliche Schritte, um die Sicherheit der eigenen Anwendung zu gewährleisten.
iOS-Apps werden immer komplexer und hängen zunehmend auch von Drittanbietern ab, das vergrößert auch die potenzielle Angriffsfläche immer weiter. Das Beispiel CocoaPods zeigt, dass auch weitverbreitete und vertrauenswürdige Paketmanager natürlich nicht vor Sicherheitslücken gefeit sind - und diese manchmal erst nach Jahren entdeckt werden. Das Einzige, was Entwicklern hier hilft, ist anhaltende Wachsamkeit, regelmäßige Sicherheitsprüfungen und klare Verfahren im Umgang mit Open-Source-Bibliotheken.
Zusammenfassung
- Sicherheitslücke in Open-Source-Server für MacOS- und iOS-Apps entdeckt
- Lücke bestand über ein Jahrzehnt, betrifft CocoaPods-Ökosystem
- Betroffen sind rund 3 Millionen Anwendungen, die Swift und Objective-C nutzen
- Patch für die Sicherheitslücke CVE-2024-38367 Ende letzten Jahres veröffentlicht
- Keine Hinweise auf Angriffe durch die Lücke, keine Nutzermaßnahmen nötig
- Open-Source-Bibliotheken stellen oft über 80 Prozent des App-Codes
- Notwendigkeit für regelmäßige Sicherheitsprüfungen und verbesserte Verfahren
Siehe auch:
- iOS vs. Android: Test ermittelt eindeutigen Gewinner bei Datensicherheit
- Jetzt aktualisieren: iPhones durch iOS-Sicherheitslücken angreifbar
- iOS 16.7.4: Apple liefert wichtiges Sicherheitsupdate für ältere Geräte
- iOS 17.2.1 entdeckt: Apple arbeitet an weiterem Sicherheitsupdate
- iOS 17.1.2: Wichtiges Sicherheitsupdate schließt Webkit-Schwachstelle
Thema:
Das iPhone 17 im Preisvergleich
Turbo_Handy 
Amazon.de 
Mobilfunk-schreiber 
Galaxus Beliebt im Preisvergleich
- Handys ohne Vertrag:
Videos zum Thema iOS
Beiträge im Forum
Weiterführende Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen