iOS und macOS: Etliche Apps von Sicherheitsleck in CocoaPods betroffen
von Olli | 2 Kommentare
Apple App Store
Die Welt stützt sich heutzutage mehr und mehr auf Digitales – sowohl im privaten Bereich als auch bei Unternehmen. Da ist es nicht verwunderlich und auch keine Überraschung mehr, dass es immer mal wieder böswillige Menschen und Organisationen gibt, die an die Daten wollen, die in Apps und Programmen verarbeitet werden. Wie ArsTechnica unter Berufung auf EVA Information Security berichtet, sind über 3 Millionen Apps im iOS und macOS App Store von einem Sicherheitsleck in CocoaPods betroffen gewesen – über 10 Jahre lang.
Zur Erklärung: CocoaPods ist eine einfache Möglichkeit für Entwickler, Code von Drittanbietern in die eigenen Apps zu integrieren, indem man auf Open-Source-Bibliotheken zurückgreift. Sobald eine Bibliothek aktualisiert wird, erhalten auch die Apps automatisch die letzten Funktionen. Eben jene Sicherheitslücke betraf laut EVA den Mechanismus zur E-Mail-Verifizierung. Ein Angreifer konnte die URLs in derlei Mails verändern und auf schadhafte Server umleiten. Die Entwickler von CocoaPods haben wohl schon Aktionen unternommen, um die Funktionalität zu verbessern.
Detaillierte Informationen zum Exploit findet ihr bei EVA Information Security. Bei CocoaPods sind die Schwachstellen übrigens schon seit letztem Jahr Oktober geschlossen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Über 10 Jahre existiert also ein Sicherheitsleck und jetzt hat der Entwickler WOHL SCHON angefangenen etwas zu verbessern. Warum den Fehler verbessern und nicht eliminieren? Es wäre besser solche Entwickler von der Programmierung fern zu halten.
Schön wäre natürlich wenn mitgeteilt würde, was die schadhaften Server denn so alles mit der umgeleiteten Email angestellt haben. Noch schöner wäre es natürlich, wenn man, sofern man eine App installiert hat (hatte), aktiv über die Schwachstelle informiert würde.
Noch eine Frage zum Verständnis. Sind mit den 3 Millionen unterschiedliche Apps gemeint oder geht es um kumulierte Downloadzahlen der betroffenen Apps?
Wie kann ich
Genau, am besten halten wir dann grundsätzlich alle Entwickler von der Programmierung fern, dann gibt es keine Sicherheitslücken mehr.
Die Sicherheitslücke wurde letztes Jahr entdeckt und gleich im Oktober behoben. Lies dir doch selbst mal den Artikel durch, ich finde das schon recht komplex und wäre selbst nicht draufgekommen. Wo liest du raus, dass der Entwickler die Sicherheitslücke 10 Jahre lang ignorierte?