Novas vulnerabilidades no gerenciador de aplicações CocoaPods podem afetar milhares de sistemas utilizados em produtos de empresas como Apple, Microsoft, Snapchat, TikTok, Facebook e outras. As falhas, três no total, foram descobertas na segunda-feira (01) pelos pesquisadores da EVA Information Security.

De acordo com a empresa, as três vulnerabilidades permitem que cibercriminosos ganhem privilégios de acesso no CocoaPods. Gerenciador de dependências no iOS, o software roda em aplicação para as linguagens Objective-C, Swift, RubyMotion e outras — uma dependência pode ser explicada como uma biblioteca externa (pod) utilizada por um projeto.

Quais os produtos afetados pelas brechas:

Meta: Facebook e WhatsApp

Facebook e WhatsApp Apple: Safari, AppleTV e Xcode

Safari, AppleTV e Xcode Microsoft: Teams

Fluxo

A equipe de pesquisadores também cita empresas como Amazon, TikTok, Snapchat, LinkedIn, Netflix, Okta, Yahoo, Zynga e outras. Em seu artigo, eles ainda notaram que foram descobertas bibliotecas, pacotes e frameworks open-source no código de clientes que foram revistos; e o número seria entre 70% e 80% do montante.

São cerca de 100 mil bibliotecas utilizadas em mais de 3 milhões de aplicativos móveis

Já batizadas, a vulnerabilidade CVE-2024-38366 recebeu uma classificação 10 de 10 em nível de criticidade. As outras duas receberam a classificação CVE-2024-38368 e CVE-2024-38367.

Com acesso ao pod (biblioteca), um cibercriminoso é capaz de manipular o código-fonte e até inserir conteúdo malicioso.

Especificamente na CVE-2024-38367, os pesquisadores indicaram a capacidade do roubo completo de contas de usuários sem qualquer clique extra, burlando camadas de segurança com segundo fator.

As empresas citadas já corrigiram as vulnerabilidades. Por outro lado, há muito trabalho ainda a ser feito: equipes que trabalham com CocoaPods desde o final de 2023 devem verificar a integridade de dependências de código-aberto utilizadas em seus projetos de modo rápido.