Tecnologia

Milhões de apps no iPhone e Mac foram expostos devido a falha de segurança

Vulnerabilidade em repositório de código aberto expôs mais de 3 milhões de apps para iOS e macOS, mas problema foi corrigido no ano passado

Pesquisadores da EVA Information Security descobriram uma vulnerabilidade que pode expôs mais de 3 milhões de aplicativos para iOS e macOS nos últimos 10 anos. O problema afetava o repositório de código aberto CocoaPods, usado no desenvolvimento de softwares para estes sistemas.

O relatório da empresa de cibersegurança informa que o erro foi corrigido em outubro do ano passado, mas o problema poderia expor "milhões de dispositivos" que usassem os aplicativos potencialmente afetados. A falha de segurança detectada abriria brecha para ataques de cadeia de suprimentos, uma ação maliciosa que tenta acessar um sistema ou organização a partir de ofensivas indiretas a terceiros.

Em nota, a EVA Information Security explica os possíveis problemas: “Muitos aplicativos podem acessar informações sensíveis do usuário, como detalhes de cartão de crédito, conteúdos privados e mais. Adicionar códigos nesses apps poderia permitir que invasores acessassem estas informações para qualquer propósito malicioso imaginável — ransomware, fraude, chantagem e espionagem corporativa”, conclui. 

Uma das falhas ocorria durante o processo de verificação de e-mail: por padrão, o servidor do CocoaPods enviava um link para autenticar um login e garantir acesso à conta. Os pesquisadores, então, descobriram que era possível manipular a URL e direcionar a vítima para um servidor vinculado ao hacker. 

Medidas tomadas

A vulnerabilidade foi corrigida em outubro, mas a empresa alerta que os desenvolvedores que usavam o repositório antes disso devem tomar algumas precauções de segurança, como revisar todos os códigos de terceiros usados nos apps e garantir que todos os desenvolvedores usem a mesma versão dos pacotes. 

O relatório aponta que ainda não há uma evidência direta de exploração dessas vulnerabilidades para ciberataques, mas também não é capaz de descartar os possíveis riscos do problema.

Trending no Canaltech:

Mais Lidas