오픈소스 스위프트 및 오브젝티브-C 저장소인 코코아팟(CocoaPods)에서 지난 10년간 수백만 개의 iOS 및 macOS 앱을 잠재적인 공격에 노출시킨 여러 취약점이 뒤늦게 패치됐습니다.

코코아팟은 개발자가 앱에 포함할 수 있는 코드 패키지인 "pod"을 관리하는 데 사용됩니다. 이번에 발견된 취약점은 개발자가 코코아팟에 로그인하여 pod을 관리하는 방식과 관련이 있습니다.

EVA 인포메이션 시큐리티의 보고서에 따르면, 코코아팟의 취약점은 크게 세 가지였습니다. 첫째, pod 관리자가 로그인할 때 이메일 주소를 입력하면 인증된 계정 페이지로 바로 연결되는 인증 링크가 포함된 이메일이 전송되는 것. 공격자는 이 링크를 조작하여 자신이 제어하는 서버로 연결하고 (CVE-2024-38367), 버려진 pod에 침입하여 제어하거나 (CVE-2024-38368), 트렁크 서버에서 코드를 실행할 수 있었습니다(CVE-2024-38366).

이 취약점을 통해 공격자는 수백만 개의 iOS 및 macOS 앱에서 사용되는 pod에 영향을 미칠 수 있었습니다. 예를 들어, 공격자는 pod을 조작하여 사용 중인 모든 앱에서 자동으로 업데이트되도록 하여 악성 코드를 심거나 중요 정보를 탈취할 수 있었습니다.

코코아팟 관리자 올타 세록스는 "서버에서 임의의 쉘 명령을 실행할 수 있다는 것은 공격자가 CocoaPods/Specs 저장소에 쓰고 트렁크 데이터베이스를 읽는 데 사용할 수 있는 환경 변수를 읽을 수 있다는 것을 의미합니다"라고 설명했습니다.

이 취약점이 악용됐단 증거는 아직 발견되지 않았습니다. 그러나 코코아팟을 사용하는 개발자는 안전을 위해 여러 보안 조치를 수행해야 하는 상황입니다.

이 취약점은 지난 10월에 패치됐으며, 이전 세션 키는 모두 삭제되었습니다. 사용자는 항상 최신 패치 및 버그 수정 사항이 적용된 앱을 사용하기 위해 기기 및 앱을 최신 상태로 유지해야 합니다.