La empresa israelí de ciberseguridad y pruebas EVA Information Security ha descubierto un error en Cocoapods, un administrador de dependencias ampliamente utilizado para proyectos de software codificados en los lenguajes de programación Swift y Objective-C.

Dependency Manager es una herramienta importante en el proceso de desarrollo de software, que permite la autenticación y la firma criptográfica de paquetes de software. Por lo tanto, un problema con dicha herramienta afectaría negativamente a muchas partes del software o de la web.

Según EVA Information Security, el problema puede haber existido desde 2014, como resultado de una migración fallida del servidor Cocoapods que dejó miles de paquetes de bibliotecas de software sin vínculos a sus archivos fuente originales y sin posibilidad de rastreo hasta su fuente. Se trata de una laguna que permite a los atacantes sustituir el código fuente original por su propio código malicioso.

Debido a las deficiencias de seguridad del sistema, estos paquetes pueden ser secuestrados por delincuentes y utilizados para inyectar malware en las herramientas de desarrollo de software. Al no detectarse durante mucho tiempo, miles de aplicaciones y millones de dispositivos han quedado expuestos a lo largo de los años, declaró el representante de la empresa.

Dado que muchas aplicaciones tienen acceso a información confidencial de los usuarios, como tarjetas de crédito, registros médicos y documentos privados, los piratas informáticos pueden explotar vulnerabilidades, instalar ransomware u otros tipos de malware para recopilarlos.

EVA Information Security cree que Apple está "en el centro del desastre" cuando la mayoría de las aplicaciones de iOS y macOS están codificadas en lenguajes Swift y Objective-C, incluidos nombres populares como TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.

Como resultado, miles de aplicaciones en estas plataformas podrían verse afectadas. Un ataque al ecosistema de aplicaciones móviles podría infectar la mayoría de los dispositivos de Apple, dejando a miles de organizaciones vulnerables financiera y reputacionalmente.

Según se informa, Cocoapods ha corregido los errores, pero el hecho de que no se hayan descubierto durante casi una década es motivo de preocupación. EVA Information Security recomienda que los desarrolladores revisen el código fuente de sus productos para determinar si el software es vulnerable a errores.

Apple aún no ha comentado la noticia.