Sembra che milioni di applicazioni presenti su App Store, e quindi su iOS 17, siano state esposte ad una potenziale violazione.
Milioni di app iOS e macOS sono state esposte ad una violazione della sicurezza molto importante, che potrebbe essere stata utilizzata per potenziali attacchi alla catena di approvvigionamento, come afferma un rapporto della ArsTechnica basato sulla ricerca di EVA Information Security. L’exploit è stato trovato in CocoaPods, una repository open source utilizzata da molte app popolari sviluppate per le piattaforme Apple.
Exploit CocoaPods sulle app iOS e macOS
Secondo il rapporto, circa 3 milioni di app iOS e macOS costruite con CocoaPods sono vulnerabili da circa 10 anni, non da oggi. Per chi non ha familiarità con l’argomento, CocoaPods rende facile per gli sviluppatori integrare il codice di terze parti nelle loro app attraverso librerie open source. Quando una libreria viene aggiornata, le app che la utilizzano ottengono automaticamente gli ultimi aggiornamenti.
EVA Information Security ha rivelato che l’exploit potrebbe portare gli aggressori ad accedere a dati sensibili dell’app come dettagli della carta di credito, cartelle cliniche e materiale privato come foto e video. I dati potrebbero essere utilizzati per una serie di scopi dannosi, tra cui ransomware, frode, ricatto e spionaggio aziendale.
Le vulnerabilità erano correlate ad un meccanismo di verifica e-mail non sicuro, utilizzato per autenticare gli sviluppatori di singoli (librerie). Ad esempio, un utente malintenzionato potrebbe manipolare l’URL in un link di verifica per puntare ad un server dannoso. Il team CocoaPods ha già adottato misure per garantire che gli exploit siano risolti nel breve periodo.
I ricercatori di EVA consigliano agli sviluppatori che utilizzano CocoaPods nelle loro app, di rivedere sempre le dipendenze di CocoaPods e di eseguire scansioni di sicurezza per rilevare un eventuale codice dannoso in tutte le librerie esterne.
Quando arriva per tutti iOS 17.6?
Per quanto riguarda la possibile data di uscita, iOS 17.6 dovrebbe arrivare insieme a watchOS 10.6 e macOS Sonoma 14.6, entro il mese di luglio, come accade ormai ogni anno, se tutto va bene.
[fonte]