CocoaPods-Bug: Auf MacOS- und iOS-Entwickler wartet jetzt Arbeit
Millionen von Anwendungen für MacOS und iOS waren über längere Zeit massiv gefährdet, weil eine zentrale Entwickler-Software ein Problem hatte. Betroffen waren im Grunde auch alle Apps großer Anbieter.
Das israelische Unternehmen EVA Information Security hat das Problem entdeckt und ging mit einer genauen Analyse des Problems an die Öffentlichkeit. Demnach bestand die Sicherheitslücke schon seit zehn Jahren: Im Jahr 2014 wurde CocoaPods auf einen neuen GitHub-Server migriert, wodurch die Urheberschaften der einzelnen "Pods", in denen die Abhängigkeits-Beschreibungen gespeichert sind, zurückgesetzt wurden.
Das CocoaPods-Team forderte die Anbieter der verschiedenen Bibliotheken zwar auf, ihre Urheberschaftsansprüche zu erneuern, was aber nicht alle taten. Zuletzt waren noch immer 1870 Pods verwaist. Laut den Sicherheitsforschern konnten hier nun Unbefugte Ansprüche geltend machen und Manipulationen in den Pods vornehmen. Dadurch war es letztlich möglich, Schadcode in Software-Bibliotheken einzuschleusen, der dann bei jedem neuen Build-Vorgang in zahlreiche Apps übernommen wurde.
Anders als anfangs noch gedacht, ist für die Nutzer von CocoaPods die Sache damit allerdings nicht unbedingt vom Tisch. Entwickler und DevOps-Teams, die in den letzten Jahren CocoaPods verwendet haben - insbesondere vor Oktober 2023 - "sollten die Integrität der in ihrem Anwendungscode verwendeten Open-Source-Abhängigkeiten überprüfen", so die EVA-Forscher.
Denn es ist nicht auszuschließen, dass in den letzten Jahren Schadcodes in die Pods geschleust wurde, der jetzt nicht mehr unbedingt zu finden ist. Vornehmlich App-Versionen, die nicht auf den neuesten Bibliotheken-Versionen beruhen, die von CocoaPods geliefert wurden, könnten so weiterhin Schadcode in sich haben.
Es ist letztlich auch nicht zwingend der Apple-Plattform anzulasten, da es ähnliche Tools zur Bibliotheken-Verwaltung auch anderswo gibt. Die Abhängigkeits-Ketten haben sich schon mehrfach als mögliches Sicherheitsproblem erwiese, der Umfang des Schadenspotenzials, der jetzt von CocoaPods ausging, dürfte allerdings durchaus eine Ausnahmestellung einnehmen.
Siehe auch:
Abhängigkeiten werden zum Problem
Ausgangspunkt des Problems war das Tool CocoaPods, wie wir gestern berichteten. Dabei handelt es sich um einen Abhängigkeitsmanager, über den Entwickler einfach alle möglichen Open-Source-Libraries laden und automatisiert in ihr Projekt integrieren können. Über längere Zeit war der Pool CocoaPods' allerdings nicht genug dagegen geschützt, dass Angreifer fremden Code einschleusten.Das israelische Unternehmen EVA Information Security hat das Problem entdeckt und ging mit einer genauen Analyse des Problems an die Öffentlichkeit. Demnach bestand die Sicherheitslücke schon seit zehn Jahren: Im Jahr 2014 wurde CocoaPods auf einen neuen GitHub-Server migriert, wodurch die Urheberschaften der einzelnen "Pods", in denen die Abhängigkeits-Beschreibungen gespeichert sind, zurückgesetzt wurden.
Das CocoaPods-Team forderte die Anbieter der verschiedenen Bibliotheken zwar auf, ihre Urheberschaftsansprüche zu erneuern, was aber nicht alle taten. Zuletzt waren noch immer 1870 Pods verwaist. Laut den Sicherheitsforschern konnten hier nun Unbefugte Ansprüche geltend machen und Manipulationen in den Pods vornehmen. Dadurch war es letztlich möglich, Schadcode in Software-Bibliotheken einzuschleusen, der dann bei jedem neuen Build-Vorgang in zahlreiche Apps übernommen wurde.
Das war knapp
Um einen Pod für sich zu beanspruchen, musste ein Angreifer lediglich eine bestimmte CURL-Anfrage übermitteln, und schon konnte er einen Pod verändern und bösartigen Code einfügen. Allerdings ist aktuell noch unklar, ob vor den EVA-Forschern schon einmal jemand auf diese Idee gekommen ist. Belege dafür, dass die Schwachstelle tatsächlich ausgenutzt wurde, gibt es bisher glücklicherweise nicht.Anders als anfangs noch gedacht, ist für die Nutzer von CocoaPods die Sache damit allerdings nicht unbedingt vom Tisch. Entwickler und DevOps-Teams, die in den letzten Jahren CocoaPods verwendet haben - insbesondere vor Oktober 2023 - "sollten die Integrität der in ihrem Anwendungscode verwendeten Open-Source-Abhängigkeiten überprüfen", so die EVA-Forscher.
Denn es ist nicht auszuschließen, dass in den letzten Jahren Schadcodes in die Pods geschleust wurde, der jetzt nicht mehr unbedingt zu finden ist. Vornehmlich App-Versionen, die nicht auf den neuesten Bibliotheken-Versionen beruhen, die von CocoaPods geliefert wurden, könnten so weiterhin Schadcode in sich haben.
Es ist letztlich auch nicht zwingend der Apple-Plattform anzulasten, da es ähnliche Tools zur Bibliotheken-Verwaltung auch anderswo gibt. Die Abhängigkeits-Ketten haben sich schon mehrfach als mögliches Sicherheitsproblem erwiese, der Umfang des Schadenspotenzials, der jetzt von CocoaPods ausging, dürfte allerdings durchaus eine Ausnahmestellung einnehmen.
Zusammenfassung
- Millionen Apps auf MacOS und iOS waren durch Softwarefehler gefährdet
- CocoaPods als zentrales Tool betroffen, das Entwicklern Open-Source-Libraries bereitstellt
- Sicherheitslücke bei CocoaPods ermöglichte das Einschleusen von Schadcode
- Problem bestand unbemerkt seit einer Servermigration im Jahr 2014
- 1870 Pods waren zuletzt noch immer verwaist und manipulierbar
- EVA Information Security deckte die Schwachstelle auf und warnte die Öffentlichkeit
- Entwickler sollen die Integrität ihrer genutzten Open-Source-Abhängigkeiten prüfen
Siehe auch:
Thema:
Neue MacOS-Videos
- Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
- Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
- Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
- WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
- MacOS Big Sur: Eindrücke zu den Neuerungen des Betriebssystems
Beiträge aus dem Forum
-
KeePass Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Metal-Gear-Vater Hideo Kojima kritisiert Sonys Disc-Ende scharf
- Genialer O2-Tarif für 10€: 25 GB, Deezer gratis und monatlich kündbar
- Nothing Ear 3(a): Leak zeigt offizielle Bilder der neuen In-Ear-Kopfhörer
- Startup stellt kleine Kernkraftwerke aus dem 3D-Drucker vor
- Experte sicher: Nintendo bleibt Verfechter physischer Switch-Spiele
- Schluss mit Geoblocking: Heute 80 Prozent Rabatt auf ExpressVPN
- iPhone Ultra mit anfangs "unglaublich eingeschränkter Verfügbarkeit"
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen