Apple

Milhões de iPhones e Macs estiveram expostos a vulnerabilidades críticas durante uma década

27 Comentários

Um grupo de especialistas em segurança descobriu três vulnerabilidades críticas que colocaram em risco milhões de iPhones e Macs durante quase uma década. O descuido expôs aplicações como o WhatsApp, o TikTok, a Netflix e até o Safari, afetando centenas de milhões de utilizadores.


 

Investigadores do grupo israelita E.V.A. Information Security publicaram um relatório sobre três vulnerabilidades no CocoaPods, um gestor de dependências open-source para o desenvolvimento de aplicações. De acordo com os especialistas, qualquer agente malicioso era capaz de assumir o controlo de bibliotecas de terceiros para inserir código malicioso. Os ataques teriam afetado quase todos os dispositivos Apple, tanto de particulares como de organizações.

A falha em questão foi gerada em maio de 2014, quando o CocoaPods realizou uma migração para um serviço Web que procurava melhorar a experiência do utilizador. Embora isso tenha facilitado a publicação de “Pods”, milhares de dependências ficaram órfãs no processo. Isto abriu a porta a qualquer atacante que utilizasse uma API pública e um endereço de correio eletrónico genérico para assumir o controlo.

Embora o processo seja mais complexo do que parece, uma vez que um atacante tenha acesso ao código-fonte da dependência, as implicações seriam catastróficas. O hacker poderia injetar código malicioso e atualizar packages no servidor CocoaPods, resultando em zero-day attacks.

 

Vulnerabilidade do CocoaPods que afeta iPhones e Macs

De acordo com os investigadores, muitas aplicações iOS e macOS eram suscetíveis a zero-day attacks. Algumas das aplicações mais utilizadas, como o Facebook, o WhatsApp, o TikTok, o Snapchat ou a Amazon, utilizam dependências órfãs do CocoaPods. No caso da Apple, o Safari, a Apple TV e o Xcode fazem referência a estes Pods na sua documentação ou termos de serviço.

No total, encontramos 685 Pods que tinham uma dependência explícita usando um Pod órfão. Sem dúvida, existem centenas ou milhares mais em bases de código proprietárias. Ao tomar posse de uma parte da supply chain de aplicações iOS e macOS, um atacante teria um caminho livre para aceder a milhões de aplicações móveis e às centenas de milhões de pessoas que as utilizam.

Mencionou o grupo de segurança.

Uma das três vulnerabilidades explora o processo de verificação de email do servidor CocoaPods. A falha permite que um atacante execute código para manipular ou substituir packages de dependências por código malicioso.

A boa notícia é que as vulnerabilidades foram corrigidas pelo CocoaPods. Até à data, não há provas de que qualquer uma destas falhas tenha sido explorada. O grupo de segurança recomenda que as empresas revejam a sua lista de dependências e gestores de packages utilizados nas suas aplicações.

 

Leia também:

Design e tamanho do Apple Watch Series 10 possivelmente revelados

PUB
Autor: Rui Neto
Partilhar:
Tags:
Aplicações CocoaPods dependências iPhone/iPod Mac Os Vulnerabilidades

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Google quer ser mais verde, mas as suas emissões de carbono aumentaram quase 50%
Artigo anterior

Google quer ser mais verde, mas as suas emissões de carbono aumentaram quase 50%
Tesla quer que os seus robotáxis elétricos se limpem sozinhos
Próximo artigo

Tesla quer que os seus robotáxis elétricos se limpem sozinhos
PUB

Comentários

27

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Rodrigo
    Rodrigo

    E novidades, não é mais que os outros.

    Responder
  2. Avatar de Pedro António
    Pedro António

    Pensei que fossem consagrados e únicos e diferentes!

    Responder
    1. Avatar de Lucas
      Lucas

      também pensavam que eram incontestáveis e acima de tudo e todos.

      Responder
  3. Avatar de Tó

    Could’ve, should’ve, would’ve. Didn’t.

    Responder
  4. Avatar de TdSR
    TdSR

    iPhone e Macs sempre foram overrated.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Diz que não os tem 😉 e não está seguro das suas escolhas. Até porque as vendas, ano após ano, conferem isso mesmo que referi. Só fala quem não tem. Caso contrário, a Apple estaria noutro patamar de vendas. E vemos que não é assim, a Apple tem aumentado o seu mercado quer nos Macs, quer no iPhone, Apple Watch, AirPods e afins.

      Responder
      1. Avatar de Sérgio V.
        Sérgio V.

        Não será preciso dizer porque aumenta as vendas.. Ou será? Conheço vários casos que quando lhes pergunto porque têm um iPhone não sabem responder…

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          Grande parte dos utilizadores Android têm um telefone de mexer com o dedo porque é barato. Quer que lhe explique isso melhor? 😉

          Responder
          1. Avatar de Sérgio V.
            Sérgio V.

            Assim como os mais de 70% que compram iPhone é para mecher com o dedo e pagá-lo em prestações.

          2. Avatar de Vítor M.
            Vítor M.

            😀 70 até foste meigo, quem diz 70 diz 120 🙂 . Mas se calhar são todos pagos. E quem os compra… sabe que tem um produto que mesmo depois pode ser rentável. Por exemplo, o mercado dos recondicionados e usados viver por conta da procura de iPhones 😉 e cada vez há mais deste mercado e cada vez se vendem mais.

            Compra quem quer, quem pode, quem precisa e quem valoriza.

          3. Avatar de Zé Fonseca A.
            Zé Fonseca A.

            lá fora também a maioria compra o iphone a prestações, chamam-se planos pós-pagos, só o tuga que não tem dinheiro para pós pagos tem pré-pagos e paga full price pelos telemoveis

          4. Avatar de Vítor M.
            Vítor M.

            O tuga tem dinheiro, isso é certo. E em Portugal a Apple vende muito, face ao tamanho do mercado. E em Portugal os recondicionados e usados vem muito. Isso é outra realidade. Portanto, em Portugal no que toca, por exemplo, às escolhas dos mais novos, o iPhone é sem dúvida a escolha. Boas fotos para as redes sociais, um equipamento duradouro e muitas alternativas no que toca às várias plataformas. Mas os android não vendem bem? Sim, os mais baratos. São bons, isso não há dúvida, mas vendem porque o preço é acessível.

            Em todo o mundo, principalmente os telefones premium, têm nas operadoras planos de pagamento mensal. Nem todas as pessoas podem fazer isso. Normalmente só tem crédito quem é sério. E cada vez é mais isso. Não é um qualquer que pode comprar a crédito.

          5. Avatar de IMF
            IMF

            Comprar um telemóvel e dizer que pode ser, na mesma frase.

            Não faz sentido.

            A menos que estejas a falar de um telemóvel, dentro da caixa selada intacto passado 10 anos.

            E mesmo assim não são todos.

            De resto não faz sentido!

            Eu o que sejo, 99% das mulheres e 80% dos miúdos, tem um iPhone.

            Não acredito que os pais, e o restante das pessoas não tenha dinheiro para um.

            São opções… Não é pelo valor deles.

            Porque quem paga 800€ por mês de prestação de casa, 20 ou 30€ para andar de iPhone, não parece ser lá grande transtornos.

            Olha na minha empresa todas as empregadas de limpeza tem iPhone.
            Devem ter tirado mesmo curso que tu de investimento.
            Elas também grande parte investem no pass de autocarro.
            E almoçam na marmita, investimentos…

          6. Avatar de Vítor M.
            Vítor M.

            Nem todas as pessoas podem ter um iPhone. Algumas não querem, outras não precisam, outras não gostam e outras têm outros investimentos onde gastar o dinheiro.

            Mas quem compra, quem usa, fá-lo porque escolheu efetivamente esse equipamento e não por ser barato.

        2. Avatar de Nirelle
          Nirelle

          As pessoa pensam que ter um iPhone traz status mas como alguém disse: Até um trolha têm um iPhone.

          Um iCoisa custa 1000 euros e 80% é o custo de ser Apple e o resto é o custo da construção. Depois vem essa marca dizer que inventou a pólvora 1000 anos após a sua descoberta.

          A segurança devia ser melhor pelo preço que se paga.

          Responder
          1. Avatar de Vítor M.
            Vítor M.

            Até um trolha? É menos que tu queres ver? Qualquer pessoas com dois dedos de testa compra o que mais gosta. Outros, os que só criticam por despeito, compram por indicação 😉

      2. Avatar de ahahah
        ahahah

        Diz quem já os teve e mal empregue o dinheiro…

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          Sim, vendeu um e comprou o modelo a seguir 😉 as usual…

          Responder
      3. Avatar de Lucas
        Lucas

        As pessoas só compram porque é moda, mas a Apple tem o mérito de saber estar na moda.

        Responder
        1. Avatar de Vítor M.
          Vítor M.

          É sempre moda 🙂 compram porque é o melhor. Tem o melhor da Apple, da Google e afins. Por isso é que as pessoas compram. E compram… e compram… qual moda qual carapuça 😀

          Responder
          1. Avatar de Joao Magalhaes
            Joao Magalhaes

            O meu Android tem 5 anos…as vendas do Iphone provavelmente a maioria são com contratos. O melhor???? Eu duvido que a maioria dos utilizadores comprem porque é o “melhor”, a maioria compra porque hoje em dia o que conta é o chamado “estatuto”, da mesma maneira que eu vejo pessoas a comprar malas Louis BItolas só porque já sabemos. O mundo virou um bando de idioters e as tuas respostas comprovam exatamente isso, um jornaleiro a responder às pessoas “a minha é maior que a tua”. Concordo numa coisa, cada um compra o que gosta mas depois essa cena do melhor e o maior……

    2. Avatar de Tó

      diz-me que nunca tiveste um iphone sem dizer que nunca tiveste um iphone.

      Responder
  5. Avatar de Aves
    Aves

    “CocoaPods, um gestor de dependências open-source para o desenvolvimento de aplicações” “para projetos Swift e Objective-C que simplifica a integração de bibliotecas de terceiros em apps iOS e macOS. O CocoaPods automatiza o processo de gestão de dependências, garantindo que todas as bibliotecas sejam compatíveis e atualizadas para agilizar o fluxo de trabalho de desenvolvimento”.
    É muito usado ou pouco usado? “é encontrado em 100.000 bibliotecas usadas em mais de 3 milhões de apps móveis e funciona de forma semelhante ao NPM, Maven e PyPI. O gestor usa pacotes de soma de verificação e assinados criptograficamente para permitir que os desenvolvedores verifiquem a integridade e a autenticidade dos componentes que estão a usar”.
    As três vulnerabilidades foram corrigidas pela equipa da CocoaPods no inicio do ano, após comunicação da E.V.A., que continua a advertir os developers que “realizem revisões periódicas de listas de dependência e práticas de segurança para evitar possíveis explorações futuras”.
    P.S. O CocoaPods não é código da Apple, nem o usa diretamente. Ser código open-source não elimina as vulnerabilidades, que neste caso persistiram durante 10 anos.

    Responder
  6. Avatar de Yamahia
    Yamahia

    O tal sistema inexpugnável 😛

    Responder
  7. Avatar de saul
    saul

    Ainda há dias um certo administrador deste blog dizia que nunca tinha tido nenhum producto Apple, ao qual respondi que me tinha livrado de tudo o que era Apple por várias razões.
    Aqui está uma (Das muitas) que não é novidade nenhuma.
    Mas há mais que a Apple esconde, e bem mais graves….

    Responder
  8. Avatar de Carlos
    Carlos

    Uma e outra e outra e outra vez a falácia que iOS é mais seguro cai por terra.

    Hão-de ser tantas as vezes que é provado que é tanto ou menos inseguro que outros sistemas até os papagaios pararem de a repetir

    Responder
  9. Avatar de Mr. Y
    Mr. Y

    Dá para ver que muitos não entenderam a causa.
    Isso não tem nada a ver com iOS ou MacOS. Eram (ou são) vulnerabilidades associadas a dependências necessárias em algumas apps ou programas.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.