نوشته و ویرایش شده توسط مجله ی اسکوار
کارشناسان امنیتی در یکی از ابزارهای پرکاربرد برنامهنویسی صدمهپذیری خطرناکی را کشف کردهاند که نزدیک به ۳ میلیون اپلیکیشن iOS و macOS را به خطر میاندازد و امکان پذیر هکرها برای حملات سایبری از آن منفعت گیری کنند. این صدمهپذیری نزدیک به ۱۰ سال در ابزار متنباز CocoaPods وجود داشته است.
بر پایه گزارش EVA Information Security، صدمهپذیری کشفشده در ابزار CocoaPods میتواند مشکلات بزرگی برای طیف گستردهای از برنامههای iOS و MacOS تشکیل کند. به حرف های محققان امنیتی، این مشکل میتواند هزاران اپ محبوب را تحتتأثیر قرار دهند؛ همانند نتفلیکس، اسنپچت، فیسبوک مسنجر، مایکروسافت تیم و تیکتاک.
صدمهپذیری CocoaPods و هزاران اپلیکیشن iOS در معرض خطر
ابزار سودمند CocoaPods این امکان را به گسترشدهندگان میدهد تا کدهای شخص ثالث را از طریق کتابخانههای متنباز در برنامههایشان ادغام کنند. هنگامی کتابخانهای بهروزرسانی میبشود، برنامههایی که عضو آن می باشند نیز خودکار آخرین بهروزرسانیها را دریافت میکنند.
مطابق حرف های محققان، نزدیک به ۳ میلیون اپلیکیشن iOS و macOS که با CocoaPods ساخته شدهاند، نزدیک به ۱۰ سال است که صدمهپذیر بودهاند. محققان کشف کردند که این صدمهپذیری میتواند راهی برای هکرها فراهم کند تا به دادههای حساس برنامه همانند جزئیات کارت اعتباری، اسبق پزشکی و مطالب خصوصی دسترسی اشکار کنند. این دادهها میتوانند برای اهداف مختلفی، همانند کلاهبرداری، باجخواهی و جاسوسی، منفعت گیری شوند.
این صدمهپذیری در واقع نتیجه انتقال ناقص سرورهای CocoaPods در سال ۲۰۱۴ می بود که هزاران بسته نرمافزاری را بهکلمه «یتیم» کرد (مالک آن بسته اشکار نیست.)؛ مسئله مهم این است که تا این مدت تعداد بسیاری از این بستهها بهطور گسترده در کتابخانههای این ابزار منفعت گیری خواهد شد.
هکر میتواند با منفعت گیری از API عمومی و آدرس ایمیل که در کد منبع CocoaPods حاضر است، ادعای مالکیت هریک از این بستهها را بکند؛ سپس این امکان به مهاجم داده میبشود که کد منبع مهم را با کد مخرب خودش جانشین کند. هرچند این باگها رفع شدهاند، شدت این صدمهپذیری و زمان طویل وجود آن در برنامهها علتمیبشود تعداد بسیاری از اپها بهصورت بالقوه در معرض خطر قرار داشته باشند. گسترشدهندگان باید ضمن بهروزرسانی برنامههایشان، یقین شوند به اپهایشان رخنه نشده باشد. یقیناً محققان میگویند تا این مدت هیچ مدرکی دال بر بهخطرافتادن برنامهها اشکار نکردهاند.
دسته بندی مطالب