iPhoneやMacのアプリが影響を受ける可能性、CocoaPodsの脆弱性問題

CVE-2024-38368およびCVE-2024-38366はいずれも深刻度が緊急(Critical)と評価されている。攻撃者はこれら脆弱性を悪用することで、既存パッケージの所有権を消去してアカウントを乗っ取ることができる。

CVE-2024-38367の深刻度は重要(Important)と評価されている。通常はユーザー操作を必要とするため、ワンクリックでアカウントを乗っ取る攻撃が可能とされる。しかしながらパッケージ所有者が、メールをアクティブに検証するセキュリティソリューションを導入している場合、セキュリティソリューションがリンクにアクセスしてしまうため、ゼロクリックの攻撃が可能とされる。
○対策

CocoaPodsは2023年10月ごろまでに、これら脆弱性を修正している。しかしながら、修正パッチ適用までに登録されていたパッケージは、その所有権を侵害され、悪意のあるコードを挿入された可能性がある。CocoaPodsにパッケージを登録している開発者には、所有権の乗っ取りおよび悪意のあるコードが挿入されていないか検証することが推奨されている。

今回発見された脆弱性はサプライチェーン攻撃に悪用された可能性がある。CocoaPodsを利用しているすべての開発者は、自身が開発したアプリへの影響を調査することが望まれている。
（後藤大地）