主要观点：E.V.A 信息安全研究人员发现 CocoaPods 依赖管理器存在多个漏洞，可能导致恶意行为者控制大量未声明的 pod 并插入恶意代码到流行的 iOS 和 MacOS 应用中，这些漏洞已被修复，移动应用生态系统可能受感染，开发者应验证开源依赖的完整性，依赖管理器是软件供应链安全中常被忽视的方面。
关键信息：

• 发现的漏洞：包括可获取数千未声明 pod 的所有权、在“Trunk”服务器上执行任意代码、实现零点击账户接管等。
• 影响范围：大量 Swift 和 Objective-C 应用生态系统易受供应链和零点击攻击，影响数千到数百万应用及设备。
• 潜在影响：可能导致用户和公司声誉受损、数据泄露、法律责任等。
• 建议行动：开发者审查应用中的依赖列表和包管理器，验证第三方库的校验和等。
  重要细节：
• 2014 年的迁移导致数千个孤儿包，其所有者未知且仍被广泛使用，通过公共 API 可获取所有权并插入恶意代码。
• CocoaPods“Trunk”服务器的邮件验证工作流存在漏洞，可被利用执行任意代码。
• 可通过欺骗 HTTP 头和利用配置错误的邮件安全工具实现零点击攻击获取开发者账户验证令牌。
• 技术细节方面，详细说明了各个漏洞的原理、利用方式和影响，如通过特定 curl 请求获取孤儿 pod 所有权、利用 rfc-822 方法实现远程代码执行、通过 spoofed XFH 头实现零点击账户接管等。
• 对于受影响的开发者，给出了一系列技术修复步骤，如保持 podfile.lock 文件同步、进行 CRC 验证等。