CocoaPods-Bug: Auf MacOS- und iOS-Entwickler wartet jetzt Arbeit

Millionen von Anwendungen für MacOS und iOS waren über längere Zeit massiv gefährdet, weil eine zentrale Entwickler-Software ein Problem hatte. Betroffen waren im Grunde auch alle Apps großer Anbieter.
Software, Apps, Programme, Bloatware
ilgmyzin / Unsplash

Abhängigkeiten werden zum Problem

Ausgangspunkt des Problems war das Tool CocoaPods, wie wir gestern berichteten. Dabei handelt es sich um einen Abhängigkeitsmanager, über den Entwickler einfach alle möglichen Open-Source-Libraries laden und automatisiert in ihr Projekt integrieren können. Über längere Zeit war der Pool CocoaPods' allerdings nicht genug dagegen geschützt, dass Angreifer fremden Code einschleusten.

Das israelische Unternehmen EVA Information Security hat das Problem entdeckt und ging mit einer genauen Analyse des Problems an die Öffentlichkeit. Demnach bestand die Sicherheitslücke schon seit zehn Jahren: Im Jahr 2014 wurde CocoaPods auf einen neuen GitHub-Server migriert, wodurch die Urheberschaften der einzelnen "Pods", in denen die Abhängigkeits-Beschreibungen gespeichert sind, zurückgesetzt wurden.


Das CocoaPods-Team forderte die Anbieter der verschiedenen Bibliotheken zwar auf, ihre Urheberschaftsansprüche zu erneuern, was aber nicht alle taten. Zuletzt waren noch immer 1870 Pods verwaist. Laut den Sicherheitsforschern konnten hier nun Unbefugte Ansprüche geltend machen und Manipulationen in den Pods vornehmen. Dadurch war es letztlich möglich, Schadcode in Software-Bibliotheken einzuschleusen, der dann bei jedem neuen Build-Vorgang in zahlreiche Apps übernommen wurde.

Das war knapp

Um einen Pod für sich zu beanspruchen, musste ein Angreifer lediglich eine bestimmte CURL-Anfrage übermitteln, und schon konnte er einen Pod verändern und bösartigen Code einfügen. Allerdings ist aktuell noch unklar, ob vor den EVA-Forschern schon einmal jemand auf diese Idee gekommen ist. Belege dafür, dass die Schwachstelle tatsächlich ausgenutzt wurde, gibt es bisher glücklicherweise nicht.

Anders als anfangs noch gedacht, ist für die Nutzer von CocoaPods die Sache damit allerdings nicht unbedingt vom Tisch. Entwickler und DevOps-Teams, die in den letzten Jahren CocoaPods verwendet haben - insbesondere vor Oktober 2023 - "sollten die Integrität der in ihrem Anwendungscode verwendeten Open-Source-Abhängigkeiten überprüfen", so die EVA-Forscher.

Denn es ist nicht auszuschließen, dass in den letzten Jahren Schadcodes in die Pods geschleust wurde, der jetzt nicht mehr unbedingt zu finden ist. Vornehmlich App-Versionen, die nicht auf den neuesten Bibliotheken-Versionen beruhen, die von CocoaPods geliefert wurden, könnten so weiterhin Schadcode in sich haben.

Es ist letztlich auch nicht zwingend der Apple-Plattform anzulasten, da es ähnliche Tools zur Bibliotheken-Verwaltung auch anderswo gibt. Die Abhängigkeits-Ketten haben sich schon mehrfach als mögliches Sicherheitsproblem erwiese, der Umfang des Schadenspotenzials, der jetzt von CocoaPods ausging, dürfte allerdings durchaus eine Ausnahmestellung einnehmen.

Zusammenfassung
  • Millionen Apps auf MacOS und iOS waren durch Softwarefehler gefährdet
  • CocoaPods als zentrales Tool betroffen, das Entwicklern Open-Source-Libraries bereitstellt
  • Sicherheitslücke bei CocoaPods ermöglichte das Einschleusen von Schadcode
  • Problem bestand unbemerkt seit einer Servermigration im Jahr 2014
  • 1870 Pods waren zuletzt noch immer verwaist und manipulierbar
  • EVA Information Security deckte die Schwachstelle auf und warnte die Öffentlichkeit
  • Entwickler sollen die Integrität ihrer genutzten Open-Source-Abhängigkeiten prüfen

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!