【安全资讯】几乎所有苹果设备都易受CocoaPods漏洞攻击

概要：

CocoaPods是一个开源的依赖管理工具，被用于超过三百万个Swift和Objective-C编写的应用程序中。近日，安全研究人员发现该工具存在严重漏洞，导致数千个软件包暴露，可能被攻击者利用进行供应链攻击，影响iOS和macOS应用程序。

主要内容：

根据以色列公司EVA Information Security的研究，CocoaPods在2014年将所有“Pods”迁移到GitHub上的新“Trunk服务器”时，重置了所有Pods的作者身份，并要求作者重新认领他们的工作。然而，一些作者没有认领，导致1,870个Pods成为孤儿Pods，易于被攻击者利用。这一问题被标记为CVE-2024-38368，CVSS评分为9.3。攻击者只需发送特定的CURL请求即可修改Pods并插入恶意代码。

此外，CocoaPods还存在其他两个漏洞。CVE-2024-38366（CVSS评分10.0）允许通过邮件交换验证在Trunk服务器上进行远程代码执行。攻击者可以利用RFC822 Ruby包的漏洞，注入尾随的bash命令以转储会话令牌、毒害客户端流量或触发服务器关闭。CVE-2024-38367（CVSS评分8.2）则利用Trunk服务器源代码中的漏洞，通过电子邮件扫描软件窃取会话验证令牌。

研究人员指出，尽管目前没有证据表明这些漏洞已被利用，但考虑到全球超过十亿的iOS设备，以及包括Meta、Apple、Microsoft、TikTok和Amazon在内的应用程序使用了易受攻击的Pods，潜在的影响是巨大的。EVA团队在为客户进行红队演习时意外发现了这些漏洞，这表明其他人也可能已经发现并利用了这些漏洞。

CocoaPods团队已经修补了这些问题，但具体细节直到EVA发布研究报告后才广为人知。研究人员建议所有使用CocoaPods的开发者检查其依赖项，进行校验和验证，并更新CocoaPods安装，以减少供应链攻击的风险。