严重 CocoaPods 漏洞使 macOS 和 iOS 应用程序易受供应链攻击

开源依赖项管理器 CocoaPods 中的安全漏洞暴露了数千个软件包，为针对数百万 iOS 和 macOS 应用程序的供应链攻击创造了机会。

CocoaPods（Objective-C 和 Swift 的著名依赖管理器）被曝出存在严重漏洞，凸显出 macOS 和 iOS 设备上的应用程序面临巨大风险。这些漏洞使数百万个应用程序面临供应链攻击，可能会损害许多 Apple 用户。

问题出现在 CocoaPods 迁移到 Trunk 服务器时，导致数千个软件包无人认领。攻击者使用公共 API 在 CocoaPods 源代码中认领 pod 和电子邮件地址。

CocoaPods 被广泛用于管理 macOS 和 iOS 开发中的第三方库。由于它可以自动集成和解析，因此它是一种流行的省时工具。然而，这些无人认领的软件包暴露了近十年。

Trunk 服务器是 CocoaPods 基础架构的关键部分。它管理 CocoaPods 库文件的分发和托管。它对于库版本控制、用户身份验证和发布流程至关重要。相关的安全问题可能会损害库的完整性，使攻击者能够将有害代码注入流行的数据包中。

发现的严重漏洞包括 CVE-2024-38366 (CVSS 10.0)、CVE-2024-38368 (CVSS 9.3) 和 CVE-2024-38367 (CVSS 8.2)。第一个漏洞影响电子邮件验证工作流程，允许在 Trunk 服务器上执行任意代码。漏洞可能导致合法软件包被更改或替换，对用户构成重大风险。

第二个漏洞利用了 Claim Your Pods 功能，该功能允许攻击者控制未认领的软件包。这反过来又允许攻击者操纵源代码，对流行的应用程序进行未经批准的更改。

最后一个缺陷还涉及电子邮件验证，其中一个潜在的良性链接会将攻击者重定向到恶意域，从而导致帐户接管或令牌盗窃的风险。

由于许多流行应用都依赖于 CocoaPods，此类漏洞威胁到整个 iOS 和 macOS 生态系统。利用这些漏洞的攻击者可以将恶意代码注入合法应用，通过受信任的渠道传播恶意软件，并窃取用户数据。

尽管 CocoaPods 已修补了每个漏洞，但有关这些漏洞如何被利用的细节尚未明确。

这并不是 CocoaPods 第一次面临审查。2023 年初，安全研究人员发现了一个漏洞，允许攻击者劫持子域。最近的发现强调了依赖管理和软件开发中安全性的重要性，需要采取主动措施来应对可能影响用户数据和应用程序的潜在漏洞。

参考链接：

https://www.spiceworks.com/it-security/endpoint-security/news/critical-cocoapods-vulnerability-macos-ios-apps-supply-chain-attacks/

讲述普通人能听懂的安全故事