Перейти к содержанию

Уязвимость в OpenSource компоненте (iOS)

Описание

SCA-движок нашёл зависимость из CocoaPods/Swift PM с публичной уязвимостью.

Подобные случаи рассматриваются Apple Review как угроза безопасности и могут привести к отклонению апдейта или удалению приложения из Store.

Потенциальные последствия

  • Удалённое выполнение кода или утечка данных через эксплойт в библиотеке.
  • Supply-chain risk — компрометированный pod распространяет вредоносный код во все приложения, которые его подтягивают
  • Отклонение ревью App Store из-за нарушения раздела Safety.

Рекомендации

  1. Обновить зависимость (pod update VulnerableSDK, swift package update).

  2. Включить автоматические проверки CVE:

    • brew install cyclonedx/cyclonedx/cyclonedx-bom && cyclonedx-bom -o sbom.json
    • osv-scanner --sbom=sbom.json

  3. Подписаться на Advisories CocoaPods / SwiftPM (RSS или GitHub Security Advisories).

  4. Наложить App Transport Security + TLS-пиннинг при сетевом трафике библиотеки, чтобы снизить импакт даже не-патченного бага.
  5. Убрать неиспользуемые pods (pod deintegrate && pod install --repo-update) и включить DEAD_CODE_STRIPPING = YES.

Ссылки

  1. CVE-2024-38367 — CocoaPods trunk hijack
  2. Blog — Vulnerabilities in CocoaPods open the door to supply-chain attacks
  3. OWASP MASTG — SCA & Third-Party Libraries
  4. Apple App Store Review Guidelines — Safety
  5. OSV.dev — Open Source Vulnerabilities Database
К началу