Der Dependency-Manager CocoaPods wies jahrelang eine gravierende Sicherheitslücke auf.
Sie wurde jetzt bekannt, hier informieren die Entwickler der Programmierhilfe darüber. Mit CocoaPods können Entwickler Code-Bausteine anderer Programmierer für schnelleres Arbeiten nutzen.
Code-Bausteine als maliziös entlarvt
Eines der Baustein-Pakete wurde als Malware identifiziert. Es konnte beliebigen Code auf Servern laufen lassen, die es verwalteten und nutzten. So war es lange theoretisch möglich, Nutzerdaten abzugreifen.
CocoaPods wird unter anderem vom Messenger Signal verwendet, der für seine Datenschutzbemühungen bekannt ist. Dessen Team veröffentlichte nach der Entdeckung der Sicherheitslücke ein Statement:
Signal war von dieser Sicherheitsanfälligkeit nicht betroffen. Im Allgemeinen prüfen wir alle Dependencies („Abhängigkeiten“) von Drittanbietern sowohl zum Zeitpunkt der Aufnahme und auch beim Aktualisieren. Wir behalten unsere eigene Kopie all dieser Dependencies, um die Prüfung zu vereinfachen und unerwartete Änderungen zu verhindern, die hier zu finden sind. Darüber hinaus haben wir eine zusätzliche Prüfung durchgeführt, nachdem wir von dieser Sicherheitsanfälligkeit erfahren haben, um sicherzustellen, dass der Code in diesem Repo mit dem Code an den Tags für alle unsere Dependencies übereinstimmt.
Datenlecks sind sehr wahrscheinlich
Nicht jede App leistet sich allerdings eine solche Absicherung. Daher ist es gut möglich, dass mithilfe des Code-Pakets einige Datensätze abgegriffen wurden. Darüber ist zum jetzigen Zeitpunkt allerdings noch nichts bekannt.