cocoapods 網路攻擊

Cocoapods 漏洞可能會威脅 TikTok、Snapchat、LinkedIn、Netflix、Microsoft Teams、Facebook Messenger 等。

廣泛使用的開源軟體實用程式中新發現的一組漏洞可能會給大部分 iOS 和 MacOS 生態系統帶來大麻煩。

這些錯誤可能會影響數千個廣泛使用的應用程序,包括流行的程序,例如 的TikTok, Snapchat, LinkedIn, Netflix公司, 微軟團隊, Facebook Messenger 和許多其他人,根據 相關安全研究。雖然開源元件本身已經修補,但應用程式的 DevOps 團隊正在努力確保其係統得到正確更新,以保護用戶免受潛在風險。

椰子足

漏洞被發現於 椰子足,一種廣泛使用的軟體專案開發工具。

可可豆 是Objective-C專案的依賴管理工具,類似專案的Maven Java的 o 作曲家PHP。這個想法是,一旦你添加 框架 項目的第三方,不再需要檢查是否有更新的版本, 可可豆 將負責管理依賴關係。實際上,它允許您自動安裝和更新 框架 由 Xcode 專案中的其他開發人員建立。

這些依賴管理工具是軟體開發過程中的重要工具,可實現軟體包的驗證和加密簽章。此類工具的違規和損壞可能會對網路造成嚴重後果。

EVA研究

的錯誤 Cocoapods 他們被發現了 來自網路安全和滲透測試公司 EVA Research。這些錯誤是 Cocoapods 伺服器的不完美遷移(2014 年完成)造成的,導致創建了數千個「孤兒」軟體包。

由於系統中的安全缺陷,此類軟體包很容易受到攻擊,從而引發攻擊,從而可能為多個項目引入惡意程式碼更新。研究人員這樣解釋這種情況:

2014 年的遷移過程導致數千個軟體包的原始所有者不為人知,其中許多軟體包仍在多個圖書館中廣泛使用。使用公共 API 和 CocoaPods 原始程式碼中提供的電子郵件地址,攻擊者可以聲稱對這些軟體包之一的所有權,這將允許攻擊者用自己的惡意程式碼替換原始原始碼…我們發現的漏洞可用於控制依賴管理器本身和任何已發布的套件。下游依賴性可能意味著近年來有數千個應用程式和數百萬台設備被揭露。

打補丁

所有三個錯誤都已修復,但它們的嚴重性以及它們已經存在了九年的事實無疑讓許多軟體團隊感到擔憂。之所以 Apple 這個問題的核心是許多 iOS 和 MacOS 應用程式都是使用這兩種方式進行編碼的 迅速 Objective-C,使他們特別脆弱。

後果

研究人員寫道,這些錯誤可能會影響「數千」或「數百萬」的應用程式。 “對行動應用生態系統的攻擊可能會感染幾乎所有蘋果設備,使數千個組織容易遭受災難性的財務和聲譽損失。”

研究人員表示,他們尚未看到任何證據表明這些應用程式實際上受到了損害。但如果出現問題,我們可能會為用戶帶來重大後果。研究人員指出,許多應用程式可以「存取更敏感的信息,例如信用卡、醫療記錄、私人材料」。因此網路犯罪者可以 將程式碼注入應用程式 透過受損的 Pod,允許「出於任何可以想像的惡意目的存取此資訊 – 勒索、勒索、企業間諜活動」。

軟體中可能出現的安全缺陷 開源 他們是眾所周知的。商業軟體產業依賴 FOSS 建構其商業產品。然而,人們通常很少花時間保護建構網路的自由軟體生態系統。

BlogInnovazione.it

作者