EVA 資訊安全研究人員發現影響 300 萬個應用程式的安全漏洞iOS系統和macOS。據報道技術藝術,漏洞位於可可豆莢,一個開源工具,可讓您在開發 iPhone 或 Mac 應用程式時管理外部程式庫。很受開發者歡迎,可以輕鬆整合和更新第三方元件在應用程式中。 CocoaPods 帳戶“大約 100,000 個庫用於超過 300 萬個應用程式”。
另請閱讀:最新的英特爾處理器容易受到新型網路攻擊
敏感資料面臨風險
透過利用這些漏洞,可以策劃所謂的攻擊供應鏈。此類攻擊涉及透過滲透第三方提供的軟體、硬體或服務來破壞系統。駭客不是直接攻擊主要目標,而是利用其供應商或合作夥伴的漏洞。這就是發生的事情MOVEit 駭客攻擊期間去年。在這種情況下,駭客攻擊的不是應用程序,而是 CocoaPods。
研究人員表示,主要的失敗在於電子郵件驗證機制,該機制用於驗證外部程式庫開發人員的身份。該系統旨在將驗證連結發送到開發人員提供的電子郵件地址。不幸的是,該漏洞使攻擊者有可能操縱驗證連結的 URL,將開發人員重定向到他們控制下的惡意伺服器。然後,攻擊者欺騙他的目標來訪問圖書館。它可以將惡意程式碼植入其中以實施大規模網路攻擊。總共,三個明顯的錯誤被發現了。另外兩次違規也導致了程式碼注入。
“滲透到這些工具的伺服器或開發人員帳戶的攻擊者可能會推送廣泛傳播的惡意更新”,總結了 EVA 資訊安全。
進攻結束時,攻擊者可以得到他的手敏感數據來自應用程式的信息,例如信用卡號、醫療資訊或其他個人資料。此資訊對於網路犯罪分子來說很有價值。它們使得實施其他網路攻擊、搶劫銀行帳戶、部署勒索軟體甚至盜用網路使用者的身份成為可能。
十年的脆弱
據研究人員稱,安全漏洞是近十年來一直處於空白狀態。該漏洞出現於 2014 年“遷移過程”。十年來,駭客可以在應用程式中添加惡意程式碼而不受懲罰,使數百萬甚至數十億蘋果產品用戶面臨風險。
該漏洞於去年十月被發現。在接到 EVA 資訊安全研究人員的警報後,CocoaPods 立即採取措施糾正這種情況。在一篇博文,負責人表示已經處理「在問題出現時予以糾正」。特別是,他們有“清除所有會話密鑰,以確保沒有人可以在沒有控制註冊電子郵件地址的情況下存取帳戶”。
沒有跡象表明這些缺陷被駭客利用。然而,“僅僅因為它尚未被證明並不意味著它沒有發生”CocoaPods 負責人 Orta Therox 承認。同樣,EVA 資訊安全研究人員補充說「缺席證明並不是沒有證據」。
來源 : EVA資訊安全
