Εκατομμύρια εφαρμογές iOS και macOS έχουν εκτεθεί σε παραβίαση ασφάλειας που θα μπορούσε να χρησιμοποιηθεί για πιθανές επιθέσεις στην αλυσίδα εφοδιασμού, λέει μια ArsTechnica έκθεση βασισμένη σε έρευνα από Ασφάλεια πληροφοριών EVA. Το exploit βρέθηκε στο CocoaPods, ένα αποθετήριο ανοιχτού κώδικα που χρησιμοποιείται από πολλές δημοφιλείς εφαρμογές που αναπτύχθηκαν για τις πλατφόρμες της Apple.
Εκμετάλλευση που βρέθηκε στα CocoaPods επηρέασε τις εφαρμογές iOS και macOS
Σύμφωνα με την έκθεση, περίπου 3 εκατομμύρια εφαρμογές iOS και macOS που κατασκευάστηκαν με CocoaPods ήταν ευάλωτες εδώ και περίπου 10 χρόνια. Για όσους δεν είναι εξοικειωμένοι, το CocoaPods διευκολύνει τους προγραμματιστές να ενσωματώσουν κώδικα τρίτων στις εφαρμογές τους μέσω βιβλιοθηκών ανοιχτού κώδικα. Όταν μια βιβλιοθήκη ενημερώνεται, οι εφαρμογές που τη χρησιμοποιούν λαμβάνουν αυτόματα τις πιο πρόσφατες ενημερώσεις.
Η EVA Information Security αποκάλυψε ότι η εκμετάλλευση θα μπορούσε να οδηγήσει τους εισβολείς στην πρόσβαση σε ευαίσθητα δεδομένα εφαρμογών, όπως στοιχεία πιστωτικής κάρτας, ιατρικά αρχεία και ιδιωτικό υλικό. Τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για διάφορους κακόβουλους σκοπούς, όπως ransomware, απάτη, εκβιασμό και εταιρική κατασκοπεία.
Τα τρωτά σημεία σχετίζονταν με έναν μη ασφαλή μηχανισμό επαλήθευσης email που χρησιμοποιείται για τον έλεγχο ταυτότητας των προγραμματιστών μεμονωμένων pods (βιβλιοθήκες). Για παράδειγμα, ένας εισβολέας θα μπορούσε να χειριστεί τη διεύθυνση URL σε έναν σύνδεσμο επαλήθευσης για να υποδείξει έναν κακόβουλο διακομιστή. Η ομάδα της CocoaPods έχει ήδη λάβει μέτρα για να διασφαλίσει ότι τα exploits έχουν διορθωθεί.
Αφού οι ερευνητές της EVA ειδοποίησαν ιδιωτικά τους προγραμματιστές του CocoaPods για την ευπάθεια, σκούπισαν όλα τα κλειδιά περιόδου λειτουργίας για να διασφαλίσουν ότι κανείς δεν θα μπορούσε να έχει πρόσβαση στους λογαριασμούς χωρίς να έχει πρώτα τον έλεγχο της καταχωρημένης διεύθυνσης ηλεκτρονικού ταχυδρομείου.
Οι συντηρητές CocoaPods πρόσθεσαν επίσης μια νέα διαδικασία για την ανάκτηση παλαιών ορφανών λοβών που απαιτεί απευθείας επαφή με τους συντηρητές. Ένας συγγραφέας θα πρέπει να επικοινωνήσει με την εταιρεία για να αναλάβει μία από αυτές τις εξαρτήσεις σε αυτό το σημείο.
Δεν είναι η πρώτη φορά που το CocoaPods γίνεται στόχος επιτιθέμενων. Το 2021, Οι συντηρητές του έργου επιβεβαίωσαν ένα ζήτημα ασφάλειας που επέτρεψε στα αποθετήρια CocoaPods να εκτελούν αυθαίρετο κώδικα στους διακομιστές που τον διαχειρίζονται. Αυτό θα μπορούσε να χρησιμοποιηθεί για την αντικατάσταση υπαρχόντων πακέτων από κακόβουλες εκδόσεις με κώδικα που θα μπορούσε να καταλήξει να αποσταλεί σε εφαρμογές iOS και Mac.
Οι ερευνητές του EVA συμβουλεύουν τους προγραμματιστές που χρησιμοποιούν CocoaPods στις εφαρμογές τους να ελέγχουν πάντα τις εξαρτήσεις του CocoaPods και να εκτελούν σαρώσεις ασφαλείας για τον εντοπισμό κακόβουλου κώδικα σε όλες τις εξωτερικές βιβλιοθήκες.
Διαβάστε επίσης
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
