أفاد تقرير صادر عن ArsTechnica استنادًا إلى بحث أجرته شركة EVA Information Security أن ملايين التطبيقات التي تعمل بنظامي التشغيل iOS وmacOS تعرضت لاختراق أمني يمكن استخدامه لشن هجمات محتملة على سلسلة التوريد. تم العثور على الثغرة في CocoaPods، وهو مستودع مفتوح المصدر يستخدمه العديد من التطبيقات الشائعة التي تم تطويرها لمنصات Apple.
ثغرة أمنية تم اكتشافها في CocoaPods تؤثر على تطبيقات iOS وmacOS
وفقًا للتقرير، فإن حوالي 3 ملايين تطبيق iOS وmacOS تم إنشاؤها باستخدام CocoaPods كانت عرضة للخطر لمدة 10 سنوات تقريبًا. بالنسبة لأولئك الذين لا يعرفون CocoaPods، يسهل CocoaPods على المطورين دمج التعليمات البرمجية الخاصة بجهات خارجية في تطبيقاتهم من خلال مكتبات مفتوحة المصدر. عند تحديث مكتبة، تحصل التطبيقات التي تستخدمها تلقائيًا على أحدث التحديثات.
كشفت شركة EVA Information Security أن هذه الثغرة قد تؤدي إلى وصول المهاجمين إلى بيانات حساسة للتطبيق مثل تفاصيل بطاقات الائتمان والسجلات الطبية والمواد الخاصة. ويمكن استخدام البيانات لعدد من الأغراض الخبيثة، بما في ذلك برامج الفدية والاحتيال والابتزاز والتجسس على الشركات.
كانت الثغرات الأمنية مرتبطة بآلية غير آمنة للتحقق من البريد الإلكتروني تُستخدم للتحقق من صحة هوية مطوري وحدات التخزين الفردية (المكتبات). على سبيل المثال، يمكن للمهاجم التلاعب بعنوان URL في رابط التحقق للإشارة إلى خادم ضار. وقد اتخذ فريق CocoaPods بالفعل خطوات لضمان إصلاح الثغرات الأمنية.
بعد أن أبلغ باحثو EVA مطوري CocoaPods بشكل خاص بالثغرة الأمنية، قاموا بمسح جميع مفاتيح الجلسة للتأكد من عدم تمكن أي شخص من الوصول إلى الحسابات دون التحكم أولاً في عنوان البريد الإلكتروني المسجل.
أضاف المشرفون على CocoaPods أيضًا إجراءً جديدًا لاستعادة الجرابات اليتيمة القديمة والذي يتطلب الاتصال بالمشرفين مباشرةً. سيحتاج المؤلف إلى الاتصال بالشركة لتولي إحدى هذه التبعيات في هذه المرحلة.
هذه ليست المرة الأولى التي يستهدف فيها المهاجمون CocoaPods. في عام 2021، أكد القائمون على المشروع وجود مشكلة أمنية سمحت لمستودعات CocoaPods بتشغيل تعليمات برمجية عشوائية على الخوادم التي تديرها. يمكن استخدام هذا لاستبدال الحزم الموجودة بإصدارات ضارة مع تعليمات برمجية يمكن أن تنتهي بالشحن في تطبيقات iOS وMac.
وينصح باحثو EVA المطورين الذين يستخدمون CocoaPods في تطبيقاتهم بمراجعة تبعيات CocoaPods دائمًا وتشغيل عمليات فحص الأمان للكشف عن التعليمات البرمجية الضارة في جميع المكتبات الخارجية.
اقرأ أيضا
FTC: نحن نستخدم روابط تابعة لكسب الدخل تلقائيًا. المزيد.
