Escándalo en 3 millones de apps móviles expuestas a serios problemas de seguridad

Hackers del mundo entero se podrían haber estado beneficiando durante casi una década de una serie de vulnerabilidades encontradas en millones de aplicaciones para móviles. El descubrimiento ha causado conmoción entre los expertos, puesto que ha sido un largo periodo de tiempo en el que los dispositivos podrían haber estado bajo el control de los cibercriminales.

¿Y si te has expuesto a un problema de seguridad por algo sobre lo que no tienes ningún tipo de control? Incluso aplicaciones que deberían ser seguras se ha descubierto que han estado expuestas al abuso por parte de los hackers. El motivo ha sido el grave fallo de seguridad detectado en uno de los repositorios más utilizados por los desarrolladores que trabajan creando aplicaciones.

Millones de usuarios afectados

Es difícil llegar a saber cuál es la cantidad total de personas que se pueden haber visto afectadas por este incidente del que acabamos de enterarnos, pero los especialistas mencionan que podrían ser entre millones y miles de millones de personas. Al fin y al cabo, los índices de acceso del repositorio afectado no son precisamente reducidos. Se trata de CocoaPods, un servicio que conocen bien aquellos desarrolladores que trabajan con dispositivos móviles iOS y ordenadores macOS.

Enfocado en el universo de Apple, este repositorio sufrió durante una década una vulnerabilidad que dejaba las las librerías de código de la web en riesgo. Los hackers, tal y como se ha descubierto, podían añadir código malicioso que hiciera que los 3 millones de apps que usan esas librerías se vieran afectadas y que pudieran poner en una situación problemática a usuarios y desarrolladores. La buena noticia es que la incidencia fue detectada con anterioridad y que CocoaPods actuó de manera que solucionó sus problemas de seguridad en un breve espacio de tiempo. Desde octubre ya no hay riesgo, aunque ahora es cuando se está descubriendo lo ocurrido.

¿Qué es lo que ha pasado?

El equipo de EVA Information Security descubrió que CocoaPods estaba sufriendo un total de tres vulnerabilidades distintas. Con ellas, dando una explicación rápida, los hackers tenían la oportunidad de colarse dentro del código de programación de las aplicaciones y cargar sus propios comandos. Eso significa que, en determinadas aplicaciones de uso sensible, los usuarios podrían llegar a verse afectados de manera crítica. Por ejemplo, los hackers tendrían la capacidad de acceder a los datos personales que usan o almacenan todas las aplicaciones afectadas. Y hablamos desde cuentas bancarias hasta registros de información personal o datos médicos y cualquier otra cosa que deberíamos mantener en el más riguroso de los secretos.

CocoaPods no es un repositorio al uso en el que hacer descargas directas de apps, sino que se trata de un repositorio para proyectos del lenguaje de programación Objetive-C del que dependen millones de aplicaciones. Lo importante que debes saber para entender el nivel de riesgo es que, en el momento en el que un desarrollador actualiza sus paquetes de CocoaPods, las aplicaciones que los utilizan se actualizan de una manera automática sin que tenga que existir acción por parte del usuario. Por ello, este caso se complica todavía más y aumenta su volumen de exposición de riesgo.

Dicen desde CocoaPods que, en cuanto lo descubrieron, solucionaron la incidencia e introdujeron varias medidas para evitar este tipo de incidentes. También argumentan que, aunque las afirmaciones y situaciones de riesgo que presentaron desde EVA Information Security son posibles, no han llegado a detectar ningún tipo de iniciativa que se quisiera aprovechar de estas vulnerabilidades. No obstante, la sensación de inseguridad por parte de la comunidad y de los desarrolladores que trabajan con CocoaPods es obvia.

En cualquier caso, con los recursos de seguridad actuales no debería haber ningún problema. Desde CocoaPods también aseguran que los usuarios que utilizan estas apps afectadas no tienen que hacer nada, puesto que todo se ha actualizado de forma automática. Los desarrolladores, por su parte, sí deberían aplicar una serie de acciones con la intención de asegurar que no habrá sorpresas.

Hay que tener en cuenta que CocoaPods es uno de los sistemas más utilizados en el desarrollo de aplicaciones para los dispositivos de Apple, así que el riesgo a lo largo de los años ha sido real. Dependen de él millones de terminales iPhone, relojes Apple Watch, dispositivos Apple TV y, por supuesto, ordenadores Mac. Si quieres saber más sobre la amenaza y lo que ha supuesto, el análisis que han hecho desde EVA Information Security expone hasta el último detalle todo lo que necesitas saber. Lo tienes disponible aquí.

Fuente: Ars Technica | adslzone