Các nhà nghiên cứu Reef Spektor và Eran Vaknin của EVA Information Security cho biết rằng "các lỗ hổng bảo mật cho phép bất kỳ kẻ xấu nào tuyên bố quyền sở hữu đối với hàng nghìn pod chưa được xác nhận và chèn mã độc vào nhiều ứng dụng iOS và macOS phổ biến nhất".
Tuy nhiên, công ty bảo mật cho biết, ba vấn đề này đã được CocoaPods giải quyết vào tháng 10 năm 2023.
Một trong số này là CVE-2024-38368 (điểm CVSS: 9.3), cho phép kẻ tấn công lạm dụng quy trình "Claim Your Pods" và chiếm quyền kiểm soát gói (package), dẫn đến việc can thiệp vào mã nguồn và thực hiện những thay đổi độc hại. Tuy nhiên, điều này yêu cầu tất cả những người bảo trì trước đó phải bị xóa khỏi dự án.
Nguồn gốc của vấn đề bắt nguồn từ năm 2014, khi quá trình chuyển đổi (migration) sang máy chủ Trunk đã khiến hàng nghìn package không rõ chủ sở hữu (hoặc chưa được xác nhận), cho phép kẻ tấn công sử dụng API công khai để xác nhận chủ sở hữu các pod và địa chỉ email có trong mã nguồn CocoaPods ("unclaimed-pods@cocoapods.org") để chiếm quyền kiểm soát.
Lỗi thứ hai thậm chí còn nghiêm trọng hơn (CVE-2024-38366, điểm CVSS: 10.0), cho phép kẻ tấn công lợi dụng quy trình xác minh email không an toàn để thực thi mã tùy ý trên máy chủ Trunk, sau đó có thể được sử dụng để thao túng hoặc thay thế các package.
Lỗ hổng thứ 3 cũng được phát hiện trong thành phần xác minh địa chỉ email của dịch vụ này (CVE-2024-38367, điểm CVSS: 8,2), có thể bị khai thác để lừa người nhận nhấp vào liên kết xác minh trông có vẻ vô hại, nhưng thực tế, nó chuyển hướng yêu cầu đến miền do kẻ tấn công kiểm soát để có quyền truy cập vào mã xác thực phiên của nhà phát triển.
Nguy hiểm hơn, điều này có thể được nâng cấp thành cuộc tấn công chiếm đoạt tài khoản không cần nhấp chuột bằng cách giả mạo tiêu đề HTTP - tức là sửa đổi trường tiêu đề X-Forwarded-Host - và lợi dụng các công cụ bảo mật email được cấu hình không an toàn.
Các nhà nghiên cứu cho biết: "Chúng tôi phát hiện ra rằng hầu hết mọi chủ sở hữu pod đều đăng ký email tổ chức của họ trên máy chủ Trunk, điều này khiến họ dễ bị tấn công bởi lỗ hổng chiếm quyền điều khiển không cần nhấp chuột".
Trước đó, vào tháng 3 năm 2023, Checkmarx tiết lộ rằng một tên miền phụ bị bỏ quên liên quan đến ứng dụng quản lý thư viện ("cdn2.cocoapods[.]org") có thể đã bị kẻ tấn công chiếm đoạt thông qua GitHub Pages với mục đích lưu trữ các payload của chúng.