พบช่องโหว่ด้านความปลอดภัยที่สำคัญภายในเครื่องมือโอเพ่นซอร์สที่เกี่ยวข้องกับการสร้างแอพ iOS และ macOS หลายล้านแอพ ช่องโหว่เหล่านี้ซึ่งยังไม่ทราบมาเกือบสิบปี ทำให้สามารถขโมยข้อมูลที่ละเอียดอ่อน เช่น หมายเลขบัตรเครดิตได้
นักวิจัยด้านความปลอดภัยข้อมูลของ EVA ค้นพบช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อแอปพลิเคชันสามล้านรายการไอโอเอสและ macOS ตามที่ได้รายงานไปอาท เทคนิคิกาช่องโหว่นั้นอยู่ภายในโกโก้พอดส์ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่ช่วยให้คุณจัดการไลบรารีภายนอกเมื่อพัฒนาแอปพลิเคชันสำหรับ iPhone หรือ Mac ได้รับความนิยมอย่างมากในหมู่นักพัฒนา ทำให้ง่ายต่อการรวมและอัปเดตส่วนประกอบของบุคคลที่สามในแอปพลิเคชัน บัญชี CocoaPods“มีห้องสมุดประมาณ 100,000 แห่งที่ใช้ในแอปพลิเคชันมากกว่า 3 ล้านรายการ”-
อ่านเพิ่มเติม:โปรเซสเซอร์ Intel รุ่นล่าสุดเสี่ยงต่อการโจมตีทางไซเบอร์รูปแบบใหม่
ข้อมูลที่ละเอียดอ่อนตกอยู่ในความเสี่ยง
ด้วยการหาประโยชน์จากการละเมิด จึงเป็นไปได้ที่จะเตรียมการที่เรียกว่าการโจมตีได้ห่วงโซ่อุปทาน- การโจมตีประเภทนี้เกี่ยวข้องกับการประนีประนอมระบบโดยการแทรกซึมซอฟต์แวร์ ฮาร์ดแวร์ หรือบริการที่จัดหาโดยบุคคลที่สาม แทนที่จะโจมตีเป้าหมายหลักโดยตรง แฮกเกอร์ใช้ประโยชน์จากจุดอ่อนของซัพพลายเออร์หรือพันธมิตร นี่คือสิ่งที่เกิดขึ้นระหว่างการแฮ็ค MOVEitปีที่แล้ว ในกรณีนี้ แฮกเกอร์ไม่ได้โจมตีแอปพลิเคชัน แต่เป็น CocoaPods
ตามที่นักวิจัยระบุ ความล้มเหลวหลักอยู่ที่กลไกการตรวจสอบอีเมล ซึ่งใช้ในการตรวจสอบสิทธิ์ของนักพัฒนาห้องสมุดภายนอก ระบบนี้ออกแบบมาเพื่อส่งลิงก์ยืนยันไปยังที่อยู่อีเมลที่นักพัฒนาให้ไว้ น่าเสียดายที่ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถจัดการ URL ของลิงก์การยืนยันเพื่อเปลี่ยนเส้นทางนักพัฒนาไปยังเซิร์ฟเวอร์ที่เป็นอันตรายภายใต้การควบคุมของพวกเขา ผู้โจมตีหลอกเป้าหมายเพื่อเข้าถึงห้องสมุด มันสามารถสอดแทรกโค้ดที่เป็นอันตรายลงไปเพื่อดำเนินการโจมตีทางไซเบอร์ขนาดใหญ่ โดยรวมแล้วความผิดที่แตกต่างกันสามประการถูกค้นพบ การละเมิดอีกสองครั้งยังส่งผลให้เกิดการแทรกโค้ด
“ผู้โจมตีที่แทรกซึมเข้าไปในเซิร์ฟเวอร์หรือบัญชีนักพัฒนาของเครื่องมือเหล่านี้สามารถผลักดันการอัปเดตที่เป็นอันตรายซึ่งแพร่กระจายอย่างกว้างขวาง”สรุปการรักษาความปลอดภัยของข้อมูล EVA
เมื่อสิ้นสุดการรุก ผู้โจมตีสามารถเข้ามือได้ข้อมูลที่ละเอียดอ่อนจากแอปพลิเคชัน เช่น หมายเลขบัตรเครดิต ข้อมูลทางการแพทย์ หรือข้อมูลส่วนบุคคลอื่นๆ ข้อมูลนี้มีคุณค่าต่ออาชญากรไซเบอร์ พวกเขาทำให้สามารถดำเนินการโจมตีทางไซเบอร์อื่นๆ ปล้นบัญชีธนาคาร ปรับใช้แรนซัมแวร์ หรือแม้แต่แย่งชิงข้อมูลประจำตัวของผู้ใช้อินเทอร์เน็ต
สิบปีแห่งความเปราะบาง
ตามที่นักวิจัยระบุข้อบกพร่องด้านความปลอดภัยคือยังคงอ้าปากค้างมาเกือบสิบปี- ช่องโหว่ดังกล่าวเกิดขึ้นในปี 2014 ระหว่างช่วงก“กระบวนการอพยพ”- เป็นเวลากว่าหนึ่งทศวรรษที่แฮกเกอร์สามารถเพิ่มโค้ดที่เป็นอันตรายลงในแอปพลิเคชันโดยไม่ต้องรับโทษ ส่งผลให้ผู้ใช้ผลิตภัณฑ์ Apple หลายล้านหรือหลายพันล้านคนตกอยู่ในความเสี่ยง
ช่องโหว่นี้ถูกค้นพบเมื่อเดือนตุลาคมปีที่แล้ว CocoaPods ได้รับการแจ้งเตือนจากนักวิจัยด้านความปลอดภัยข้อมูลของ EVA และได้ดำเนินการแก้ไขสถานการณ์ทันที ในโพสต์ในบล็อกผู้รับผิดชอบแสดงว่าได้รับการดูแลแล้ว“แก้ไขปัญหาเหล่านี้ตามที่เกิดขึ้น”โดยเฉพาะพวกเขามี“ล้างคีย์เซสชันทั้งหมดเพื่อให้แน่ใจว่าไม่มีใครสามารถเข้าถึงบัญชีได้โดยไม่ต้องควบคุมที่อยู่อีเมลที่ลงทะเบียนไว้ก่อน”-
ไม่มีข้อบ่งชี้ว่าข้อบกพร่องนั้นถูกแฮกเกอร์ใช้ประโยชน์ อย่างไรก็ตาม,“เพียงเพราะมันไม่ได้รับการพิสูจน์ ไม่ได้หมายความว่ามันจะไม่เกิดขึ้น”ยอมรับ Orta Therox หัวหน้ากลุ่ม CocoaPods ในทำนองเดียวกัน นักวิจัยของ EVA Information Security กล่าวเพิ่มเติม“หลักฐานการไม่มีตัวตนไม่ใช่การไม่มีหลักฐาน”
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ความปลอดภัยของข้อมูล EVA
