Тысячи приложений iOS могут оказаться под угрозой из-за уязвимости с открытым исходным кодом
Исследовательская группа EVA Information Security, израильской компании, занимающейся кибербезопасностью и тестированием, обнаружила уязвимость в программном обеспечении с открытым исходным кодом Cocoapods, которая может подвергнуть риску атаки такие приложения, как Facebook, TikTok, Netflix на iOS и macOS.
Cocoapods — широко используемый менеджер зависимостей для программных проектов, написанных на языках программирования Swift и Objective-C.
Dependency Manager — важный инструмент в процессе разработки программного обеспечения, позволяющий выполнять аутентификацию и криптографическое подписание пакетов программного обеспечения.
Поэтому проблемы с Cocoapods негативно повлияют на многие части программного обеспечения или сети.
По данным EVA Information Security, уязвимость является результатом неравномерного процесса миграции сервера Cocoapods и могла существовать с 2014 года, в результате чего тысячи пакетов библиотек программного обеспечения больше не ссылаются на исходный файл, а их происхождение невозможно отследить.
Эта лазейка позволяет злоумышленникам заменять исходный код собственным вредоносным кодом в инструментах разработки ПО разработчика. Поскольку он оставался незамеченным так долго, вполне возможно, что за эти годы были раскрыты тысячи приложений и миллионы устройств.
Хакеры могут воспользоваться уязвимостями для установки программ-вымогателей или других типов вредоносного кода в приложения, имеющие доступ к конфиденциальной информации пользователя, и собирать ее.
Также по данным исследовательской группы, большинство приложений iOS и macOS написаны на языках Swift и Objective-C, включая такие популярные названия, как TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger. Таким образом, уязвимость в программном обеспечении с открытым исходным кодом Cocoapods может затронуть тысячи приложений, а «атака на экосистему мобильных приложений может заразить большинство устройств Apple, в результате чего тысячи организаций окажутся в уязвимом положении».
По данным исследовательской группы, Cocoapods уже исправил вышеуказанные ошибки. Но тот факт, что они оставались незамеченными в течение почти десятилетия, вызывает беспокойство. Группа рекомендует разработчикам пересмотреть исходный код своего продукта, чтобы определить, содержит ли программное обеспечение ошибки.
Apple пока не прокомментировала это серьезное открытие.
Джессика Таннер
Обновление 04 июля 2024 г.