Pesquisadores da EVA Information Security descobriram uma vulnerabilidade que pode expôs mais de 3 milhões de aplicativos para iOS e macOS nos últimos 10 anos. O problema afetava o repositório de código aberto CocoaPods, usado no desenvolvimento de softwares para estes sistemas.
- Clique e siga o Canaltech no WhatsApp
- Pesquisadores identificam falha crítica que expõe sistemas Linux
O relatório da empresa de cibersegurança informa que o erro foi corrigido em outubro do ano passado, mas o problema poderia expor "milhões de dispositivos" que usassem os aplicativos potencialmente afetados. A falha de segurança detectada abriria brecha para ataques de cadeia de suprimentos, uma ação maliciosa que tenta acessar um sistema ou organização a partir de ofensivas indiretas a terceiros.
Em nota, a EVA Information Security explica os possíveis problemas: "Muitos aplicativos podem acessar informações sensíveis do usuário, como detalhes de cartão de crédito, conteúdos privados e mais. Adicionar códigos nesses apps poderia permitir que invasores acessassem estas informações para qualquer propósito malicioso imaginável — ransomware, fraude, chantagem e espionagem corporativa", conclui.
Uma das falhas ocorria durante o processo de verificação de e-mail: por padrão, o servidor do CocoaPods enviava um link para autenticar um login e garantir acesso à conta. Os pesquisadores, então, descobriram que era possível manipular a URL e direcionar a vítima para um servidor vinculado ao hacker.
Medidas tomadas
A vulnerabilidade foi corrigida em outubro, mas a empresa alerta que os desenvolvedores que usavam o repositório antes disso devem tomar algumas precauções de segurança, como revisar todos os códigos de terceiros usados nos apps e garantir que todos os desenvolvedores usem a mesma versão dos pacotes.
O relatório aponta que ainda não há uma evidência direta de exploração dessas vulnerabilidades para ciberataques, mas também não é capaz de descartar os possíveis riscos do problema.
Trending no Canaltech:
- Paracetamol pode induzir a comportamento de risco; entenda
- Sinais de Alzheimer podem estar na forma como conversamos
- Pesquisadores identificam falha crítica que expõe sistemas Linux
- As 50 piadas mais engraçadas do Google Assistente
- AstraZeneca "admite" efeito colateral raro de vacina da covid-19
- Rival do Twitter, Koo anuncia encerramento das atividades
