Vulnerabilità decennali nei pacchetti CocoaPods esposti ad attacchi supply-chain

Vulnerabilità decennali nei pacchetti CocoaPods hanno esposto migliaia di app macOS e iOS ad attacchi supply-chain. Come riportato da ArsTechnica, hacker avrebbero potuto inserire codice malevolo compromettendo la sicurezza di milioni di utenti. Le vulnerabilità, risolte lo scorso ottobre, risiedevano in un server ’trunk’ usato per gestire CocoaPods, un repository per progetti open source in Swift e Objective-C da cui dipendono circa 3 milioni di app macOS e iOS. Quando gli sviluppatori modificano uno dei loro ‘pod’ – termine di CocoaPods per indicare pacchetti di codice individuali – le app dipendenti li incorporano automaticamente tramite aggiornamenti, solitamente senza interazione da parte degli utenti. “Molte applicazioni possono accedere alle informazioni più sensibili degli utenti: dati delle carte di credito, cartelle cliniche, materiali privati e altro ancora,” hanno scritto i ricercatori. Gli attacchi potrebbero esporre le aziende a rischi legali e reputazionali significativi.