CocoaPods中的漏洞:苹果应用生态系统的致命弱点

CocoaPods是iOS和macOS应用程序开发必不可少的依赖管理器，最近发现了CocoaPods中的严重漏洞。这些安全漏洞可能导致严重的供应链攻击，危及许多应用程序。

深入细节

Eva首先揭露了这些漏洞，暴露了CocoaPods主干基础设施的关键弱点。

• 威胁行为者可以利用CVE-2024-38368漏洞(CVSS评分:9.9)来征用孤立的pod，更改其内容或用恶意代码替换它们。

• 研究人员在Meta (Facebook、WhatsApp)、苹果(Safari、AppleTV、Xcode)和微软(Teams)的应用程序的文档或服务条款中发现了孤立的pod;以及TikTok、Snapchat、亚马逊、领英、Netflix、Okta、雅虎、Zynga等许多公司。他们总共确定了685个显式依赖于孤儿荚的荚。

• 第二个漏洞CVE-2024-38366 (CVSS评分:9.0)是CocoaPods身份验证服务器中的远程代码执行漏洞。当开发人员注册为pod所有者时，它运行shell命令来验证电子邮件域。

• 第三个漏洞cve - 1024 -38367 (CVSS评分:8.0)也会影响身份验证过程，使攻击者能够劫持pod所有者的会话并控制CocoaPods主干帐户。

的潜在影响

这些漏洞具有广泛的影响，因为任何通过CocoaPods集成库的应用程序都可能面临风险。该漏洞允许攻击者改变软件更新过程，将有害的有效载荷插入应用程序。这突出了在管理软件依赖关系时迫切需要严格的安全措施。

底线

作为回应，CocoaPods详细介绍了为降低这些风险所采取的措施。他们加强了主干基础设施，并敦促开发人员更新他们的项目，仔细检查他们的依赖关系。这一事件凸显了确保软件供应链安全的重要性。虽然像CocoaPods这样的依赖管理器提高了开发效率，但它们也为攻击者提供了诱人的目标。开发人员必须保持警惕并采用健壮的安全实践来保护他们的应用程序和用户。

原文始发于微信公众号（HackSee）：CocoaPods中的漏洞:苹果应用生态系统的致命弱点