Una falla de seguridad podría convertir en inseguras millones de ‘apps’ de iPhone
El problema está en una herramienta de desarrollo.
iOS y, básicamente, cualquier otro sistema operativo de Apple tiene fama de estar blindado y no ofrecer huecos por los que perderse la seguridad de nuestros iPhone. Pero, por desgracia, esto no suele ser así. Otra cosa es que en vez de por las vías que lo hace en Android, el malware no sea tan visible a ojos de los que vigilan, pero la amenaza siempre está ahí latente.
Y eso ha ocurrido hoy precisamente con uno de los repositorios más utilizados para el desarrollo de aplicaciones en entornos iOS (y iPadOS) y Mac: que los hackers podrían haberse aprovechado de una falla de seguridad que está presente en uno de los recursos más importantes de CocoaPods a la hora de desarrollar aplicaciones para los ecosistemas de Apple. Y nadie sabe, todavía, el alcance de esa brecha de seguridad.
Falla abierta desde 2015
CocoaPods es uno de esos lugares a los que recurren los desarrolladores para obtener recursos con los que hacer más fácil el trabajo de programar sus propias aplicaciones, aporvechando el trabajo de otros equipos que antes pasaron por ese mismo camino. Y han sido los responsables de ese lugar los que dieron la voz de alarma el pasado lunes, ante un problema que, según confesaron, lleva abierto desde junio de 2015. Por lo que muy posiblemente una buena parte de las apps desarrolladas desde entonces, con porciones extraídas de ese repositorio, puedan ser potencialmente vulnerables.
La forma de hacerlo era bien sencilla: los hackers podrían haber colocado malware y ejecutarlo dentro de esos recursos que acaban convirtiéndose en aplicaciones tanto de iOS y iPadOs como de Mac o tvOS. Lo que podría propagar una amenaza de forma rápida si consigue colarse dentro de alguna de las aplicaciones más populares de la App Store de los de Tim Cook.
Desde la empresa ponen el ejemplo de Signal que, aunque también recurre a ese repositorio para su desarrollo, posteriormente la compañía hace un trabajo de auditoría de cada paquete de la aplicación, para evitar problemas y comprobar que no hay amenazas dentro de su código. Pero cuando hablamos de otras empresas que lo mismo no son tan puntillosas con ese control, entonces es cuando llegan los problemas.
Desde Signal han declarado que su aplicación no "se vio afectada por esta vulnerabilidad" ya que "en general, auditamos todos nuestros recursos obtenidos de terceros tanto en el momento de agregarlas como de actualizarlas. Guardamos nuestra propia copia de todas para facilitar la auditoría y evitar cambios inesperados, que se pueden encontrar aquí. Además, hicimos un análisis adicional después de conocer esta vulnerabilidad, para verificar que el código en ese repositorio coincide con el código en las etiquetas de todas nuestras dependencias". Desde CocoaPods no conocen el alcance de este problema, si los hackers han conseguido colar malware en apps que están ahora mismo en la App Store o no, pero alertan a todos los desarrolladores para que instauren más controles para atajar cualquier posible problema.
