Millones de aplicaciones iOS expuestas a vulnerabilidad de seguridad en CocoaPods

### Vulnerabilidad en CocoaPods expone millones de aplicaciones de iOS y macOS

En un reciente informe de ArsTechnica basado en la investigación de EVA Information Security, se ha revelado que millones de aplicaciones de iOS y macOS están expuestas a una vulnerabilidad de seguridad que podría ser utilizada para posibles ataques de la cadena de suministro. La vulnerabilidad fue encontrada en CocoaPods, un repositorio de código abierto utilizado por muchas aplicaciones populares desarrolladas para las plataformas de Apple.

#### Exploit encontrado en CocoaPods afectó a aplicaciones de iOS y macOS

Según el informe, alrededor de 3 millones de aplicaciones de iOS y macOS que fueron construidas con CocoaPods han sido vulnerables durante aproximadamente 10 años. CocoaPods facilita a los desarrolladores la integración de código de terceros en sus aplicaciones a través de bibliotecas de código abierto. Cuando una biblioteca se actualiza, las aplicaciones que la utilizan reciben automáticamente las últimas actualizaciones.

EVA Information Security reveló que el exploit podría permitir a los atacantes acceder a datos sensibles de la aplicación, como detalles de tarjetas de crédito, registros médicos y material privado. Los datos podrían ser utilizados con fines maliciosos, como ransomware, fraude, chantaje y espionaje corporativo.

Las vulnerabilidades estaban relacionadas con un mecanismo de verificación de correo electrónico inseguro utilizado para autenticar a los desarrolladores de pods individuales (bibliotecas). Por ejemplo, un atacante podría manipular la URL en un enlace de verificación para que apunte a un servidor malicioso. El equipo de CocoaPods ya ha tomado medidas para asegurarse de que los exploits sean corregidos.

> Después de que los investigadores de EVA notificaran de forma privada a los desarrolladores de CocoaPods sobre la vulnerabilidad, eliminaron todas las claves de sesión para garantizar que nadie pudiera acceder a las cuentas sin tener previamente el control de la dirección de correo electrónico registrada.
>
> Los maintainers de CocoaPods también añadieron un nuevo procedimiento para recuperar antiguos pods huérfanos que requiere contactar directamente a los maintainers. En este momento, un autor tendría que contactar a la empresa para hacerse cargo de una de esas dependencias.

Esta no es la primera vez que CocoaPods ha sido blanco de ataques. En 2021, los maintainers del proyecto confirmaron un problema de seguridad que permitía a los repositorios de CocoaPods ejecutar código arbitrario en los servidores que lo gestionan. Esto podría utilizarse para reemplazar paquetes existentes por versiones maliciosas con código que podría acabar siendo enviado en aplicaciones de iOS y Mac.

Los investigadores de EVA aconsejan a los desarrolladores que utilizan CocoaPods en sus aplicaciones que revisen siempre las dependencias de CocoaPods y ejecuten escaneos de seguridad para detectar código malicioso en todas las bibliotecas externas.

#### Leer también

El artículo proporcionado en el enlace menciona más detalles sobre la vulnerabilidad en CocoaPods y cómo los desarrolladores pueden proteger sus aplicaciones. Es importante estar al tanto de estas cuestiones de seguridad para garantizar la integridad de las aplicaciones en las plataformas de Apple.

Al mantenerse informado y tomar medidas proactivas para proteger las aplicaciones, los desarrolladores pueden evitar posibles problemas de seguridad y mantener la confianza de los usuarios en sus productos. Es fundamental estar al tanto de las últimas amenazas de seguridad y seguir las mejores prácticas para garantizar la protección de los datos y la privacidad de los usuarios.

Recuerda que la seguridad de las aplicaciones es un aspecto crucial en el desarrollo de software y debe ser una prioridad para todos los desarrolladores de aplicaciones móviles.

Publicaciones relacionadas:

Vulnerabilidades encontradas en CocoaPods dejaron aplicaciones expuestas Las direcciones MAC privadas de Wi-Fi de Apple eran un teatro de seguridad hasta iOS 17.1. Las direcciones MAC privadas de Wi-Fi de Apple no ofrecían una verdadera seguridad hasta iOS 17.1. Parece que una falla de seguridad en el metro de Nueva York expone aparentemente una vulnerabilidad «imposible» en Apple Pay. Al parecer, se ha descubierto una brecha de seguridad en el sistema del metro de Nueva York que aparentemente expone una vulnerabilidad «imposible» en Apple Pay. Se ha corregido la vulnerabilidad que permitía la instalación del software espía Pegasus en la actualización iOS 16.6.1. El informe revela que los trabajadores de SpaceX enfrentan tasas de lesiones superiores al promedio debido a la prioridad que Musk otorga a Marte por encima de la seguridad. Translation: Los trabajadores de SpaceX se enfrentan a tasas de lesiones superiores a la media, ya que Musk prioriza Marte por encima de la seguridad, según revela un informe. «Los desarrolladores pueden integrar ahora Apple Translate en sus aplicaciones de iOS» – Novedades para desarrolladores: Integración de Apple Translate en apps para iOS iPadOS 18 Beta 2 incluye tiendas de aplicaciones alternativas y otros cambios en la UE – Título SEO: Novedades de iPadOS 18 Beta 2: ¡Descubre las tiendas de aplicaciones alternativas y más cambios en la Unión Europea! Apple aprueba el mercado de aplicaciones de terceros de Epic Games y lo traduce como «Apple aprueba el mercado de aplicaciones de terceros de Epic Games» Las aplicaciones de Apple promocionan las aplicaciones de primeros fabricantes ya presentes en el iPhone y en el Mac. Apple todavía no ha solucionado una falla de seguridad en la nueva versión beta de iOS. iOS 18 permite que aplicaciones de terceros ofrezcan grabación de video espacial en iPhone 15 Pro