Các nhà nghiên cứu Reef Spektor và Eran Vaknin của EVA Information Security cho biết “các lỗ hổng này cho phép bất kỳ kẻ xấu nào cũng có thể sở hữu hàng nghìn pod chưa được xác minh và đưa mã độc vào nhiều ứng dụng iOS và macOS phổ biến nhất”.
Tuy nhiên, công ty bảo mật cho biết ba vấn đề này đã được CocoaPods giải quyết vào tháng 10 năm 2023.
Một trong số đó là CVE-2024-38368 (điểm CVSS: 9.3), cho phép kẻ tấn công lợi dụng quy trình “Claim Your Pods” và kiểm soát gói, dẫn đến thao túng mã nguồn và thực hiện các thay đổi có hại. Tuy nhiên, điều này yêu cầu tất cả những người bảo trì trước đó phải bị xóa khỏi dự án.
Nguồn gốc của vấn đề này bắt nguồn từ năm 2014, khi quá trình di chuyển sang máy chủ Trunk khiến hàng nghìn gói tin không rõ chủ sở hữu (hoặc chưa được xác nhận), cho phép kẻ tấn công sử dụng API công khai để xác nhận chủ sở hữu pod và địa chỉ email có trong mã nguồn CocoaPods (“[email protected]”) để giành quyền kiểm soát.
Lỗi thứ hai thậm chí còn nghiêm trọng hơn (CVE-2024-38366, điểm CVSS: 10.0), cho phép kẻ tấn công khai thác quy trình xác minh email không an toàn để thực thi mã tùy ý trên máy chủ Trunk, sau đó có thể được sử dụng để thao túng hoặc thay thế các gói.
Lỗ hổng thứ ba cũng được phát hiện trong thành phần xác minh địa chỉ email của dịch vụ (CVE-2024-38367, điểm CVSS: 8,2), có thể bị khai thác để lừa người nhận nhấp vào liên kết xác minh có vẻ vô hại, nhưng trên thực tế, nó chuyển hướng yêu cầu đến miền do kẻ tấn công kiểm soát để có quyền truy cập vào mã thông báo xác thực phiên của nhà phát triển.
Nguy hiểm hơn, điều này có thể được nâng cấp thành cuộc tấn công chiếm đoạt tài khoản không cần nhấp chuột bằng cách giả mạo tiêu đề HTTP — tức là sửa đổi trường tiêu đề X-Forwarded-Host — và lợi dụng các công cụ bảo mật email được cấu hình không an toàn.
Các nhà nghiên cứu cho biết: “Chúng tôi phát hiện ra rằng hầu hết mọi chủ sở hữu pod đều đăng ký email tổ chức của họ trên máy chủ Trunk, điều này khiến họ dễ bị tấn công mà không cần nhấp chuột”.
Trước đó, vào tháng 3 năm 2023, Checkmarx đã tiết lộ rằng một tên miền phụ bị bỏ quên liên quan đến ứng dụng quản lý thư viện (“cdn2.cocoapods[.]org”) có thể đã bị kẻ tấn công chiếm đoạt thông qua GitHub Pages nhằm mục đích lưu trữ dữ liệu của chúng.
Link nguồn: https://cafef.vn/lo-hong-nghiem-trong-khien-cac-ung-dung-ios-va-macos-co-nguy-co-bi-tan-cong-chuoi-cung-ung-188240704125341187.chn