Más de 3 millones de aplicaciones expuestas: ¿podemos protegernos del fallo de seguridad de CocoaPods?

-

Se han publicado más de tres millones de aplicaciones para iOS y macOS. expuesto durante 10 años a una grave violación de seguridad recientemente descubierta en CocoaPods, un repositorio de código abierto. Así lo revela la encuesta realizada por EVA Information Security y reportada por ArsTechnica, que recuerda la importancia de trabajar con código propio y auditar el de terceros. Pero desde el punto de vista de los usuarios, ¿podemos protegernos?

Una brecha de seguridad activa desde hace 10 años

CocoaPods es un servicio que facilita la integración de código de terceros en aplicaciones, lo que permite a los desarrolladoresacceder a bibliotecas actualizadas automáticamente. Sin embargo, esta conveniencia conlleva un riesgo inherente. El exploit encontrado está relacionado con un mecanismo inseguro de verificación de correo electrónico para autenticar a los desarrolladores de bibliotecas.

Durante 10 años, los atacantes pudieron manipular el enlace de verificación para redirigir a un servidor malicioso y, con el sistema automático, enviar a la aplicación en cuestión el código necesario para acceder a datos sensibles como detalles de tarjetas de crédito, registros médicos y otra información privada.

Este tipo de vulnerabilidad no sólo pone la información confidencial en riesgo de robo, sino que también abre la puerta a ataques más complejos. La gravedad de la situación se ve acentuada por el hecho de que Muchas de las aplicaciones afectadas son utilizadas diariamente por millones de usuarios en todo el mundo..

Ante este panorama surge una pregunta inevitable: ¿cómo defendernos ante tanta vulnerabilidad? Podría decirse que la primera línea de defensa es la diligencia de los desarrolladores de aplicaciones. Seguridad de la información EVA recomienda que los desarrolladores revisen cuidadosamente las dependencias de CocoaPods y realicen análisis de seguridad para detectar código malicioso en todas las bibliotecas externas.

Después de ser informados por los investigadores de EVA, los mantenedores de CocoaPods han eliminó todas las claves de sesión para evitar el acceso no autorizado y han implementado un nuevo procedimiento para recuperar bibliotecas antiguas. Hasta entonces, la responsabilidad recae únicamente en los desarrolladores.

Dado el impacto mediático de la situación, se espera que los desarrolladores que utilicen el servicio CocoaPods revisen y revisen el contenido de sus aplicaciones. Por nuestra parte, todo lo que podemos hacer, como con esta actualización de seguridad de los AirPods, es para instalar rápidamente cualquier actualización que pueda aparecer en la App Store.

Más allá de eso, como siempre hemos dicho, es importante instalar aplicaciones de fuentes confiables. En este contexto, recordemos los sistemas de seguridad de la App Store de Apple y también tengamos en cuenta que algunas aplicaciones requieren de nuestra parte alguna verificación del equipo detrás del desarrollo y sus prácticas de seguridad. Depender de bibliotecas de terceros es quizás una práctica demasiado común, que sin las salvaguardias adecuadas conlleva muchos más riesgos que beneficios.

-

PREV Para proteger el Ariane 6, el ejército francés despliega aviones de combate Rafale
NEXT Cambia de impresora sin gastar mucho dinero optando por esta Canon Pixma ofrecida por menos de 60 euros en rebajas