Millones de apps para iPhone han sido inseguras durante años
¡Los atacantes podían acceder a información financiera, registros médicos y material privado!
Una grave vulnerabilidad en CocoaPods, un repositorio de código abierto ampliamente utilizado por desarrolladores de iOS y macOS, ha puesto en riesgo a millones de aplicaciones, según una investigación realizada por EVA Information Security. Esta falla podría permitir a los atacantes acceder a datos confidenciales de los usuarios, como información financiera, registros médicos y material privado.
Según la información compartida desde 9to5mac, el exploit afecta a aproximadamente 3 millones de aplicaciones creadas con CocoaPods en los últimos 10 años.
Un fallo de seguridad ha estado oculto por más de una década
De acuerdo con EVA Information Security, los atacantes podrían usar los datos para diversos fines maliciosos, incluidos ransomware, fraude, chantaje y espionaje corporativo. Sin embargo, la alerta a CocoaPods podría evitar consecuencias mayores:
Después de que los investigadores de EVA notificaron de forma privada a los desarrolladores de CocoaPods sobre la vulnerabilidad, borraron todas las claves de sesión para garantizar que nadie pudiera acceder a las cuentas sin tener primero el control de la dirección de correo electrónico registrada.
Los encargados del mantenimiento de CocoaPods también añadieron un nuevo procedimiento para recuperar pods huérfanos antiguos que requiere ponerse en contacto directamente con los encargados del mantenimiento. En este punto, un autor tendría que ponerse en contacto con la empresa para hacerse cargo de una de esas dependencias.
¿Cómo se puede solucionar?
Ante la situación, los desarrolladores que utilizan CocoaPods deben actualizar a la última versión. A los usuarios, se les exhorta a revisar cuidadosamente los permisos que otorgan a las aplicaciones y que solo descarguen aplicaciones de fuentes confiables.
A la par de las medidas dentro de CocoaPods, Apple ha sido notificada sobre la falla y está trabajando en una solución. Sin embargo, hasta que se lance una solución definitiva, los usuarios y desarrolladores deben tomar medidas para protegerse.
No es la primera vez...
La reciente falla de seguridad en CocoaPods, que ha puesto en riesgo a millones de aplicaciones iOS y macOS, no es un hecho aislado.
En 2021, ya se había detectado otro problema de seguridad en este repositorio de código abierto. En ese entonces, la vulnerabilidad permitía a los atacantes ejecutar código arbitrario en los servidores de CocoaPods, lo que les daba la posibilidad de remplazar paquetes legítimos por versiones maliciosas. Este código malicioso podría haberse introducido en las aplicaciones de iOS y Mac, poniendo en riesgo los datos de los usuarios.
Esta situación pone de manifiesto la importancia de mantener una vigilancia constante sobre la seguridad de las herramientas de desarrollo de software. Los desarrolladores y las empresas deben tomar medidas para prevenir futuros ataques con controles de seguridad más estrictos como las auditorías de seguridad regulares.
Puedes seguir a iPadizate en Facebook, WhatsApp, Twitter (X) o consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.