ArsTechnica 的一份基于 EVA Information Security 研究的报告称,数以百万计的 iOS 和 macOS 应用程序已面临安全漏洞,这些漏洞可用于潜在的供应链攻击。该漏洞是在 CocoaPods 中发现的,CocoaPods 是一个开源存储库,许多为 Apple 平台开发的流行应用程序都使用该存储库。
CocoaPods 中发现的漏洞影响了 iOS 和 macOS 应用程序
根据该报告,大约 10 年来,大约 300 万个使用 CocoaPods 构建的 iOS 和 macOS 应用程序一直存在漏洞。对于那些不熟悉的人来说,CocoaPods 使开发人员可以轻松地通过开源库将第三方代码集成到他们的应用程序中。当库更新时,使用它的应用程序会自动获取最新更新。
EVA Information Security 透露,该漏洞可能导致攻击者访问敏感的应用程序数据,例如信用卡详细信息、医疗记录和私人材料。这些数据可用于多种恶意目的,包括勒索软件、欺诈、勒索和企业间谍活动。
这些漏洞与用于验证各个 Pod(库)开发人员身份的不安全电子邮件验证机制有关。例如,攻击者可以操纵验证链接中的 URL 以指向恶意服务器。 CocoaPods 团队已采取措施确保修复漏洞。
在 EVA 研究人员私下将该漏洞通知 CocoaPods 开发人员后,他们擦除了所有会话密钥,以确保没有人能够在没有控制注册电子邮件地址的情况下访问帐户。
CocoaPods 维护人员还添加了一个用于恢复旧的孤立 pod 的新程序,该程序需要直接联系维护人员。此时,作者需要联系该公司来接管其中一个依赖项。
这并不是 CocoaPods 第一次成为攻击者的目标。 2021 年,该项目的维护人员确认了一个安全问题,该问题允许 CocoaPods 存储库在管理它的服务器上运行任意代码。这可以用来用恶意版本替换现有的软件包,其代码最终可能会在 iOS 和 Mac 应用程序中发布。
EVA 研究人员建议在应用程序中使用 CocoaPods 的开发人员始终检查 CocoaPods 依赖关系并运行安全扫描以检测所有外部库中的恶意代码。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)