EVA 信息安全研究人员发现影响 300 万个应用程序的安全漏洞iOS系统和macOS。据报道技术艺术,漏洞位于可可豆荚,一个开源工具,允许您在开发 iPhone 或 Mac 应用程序时管理外部库。很受开发者欢迎,可以轻松集成和更新第三方组件在应用程序中。 CocoaPods 帐户“大约 100,000 个库用于超过 300 万个应用程序”。
另请阅读:最新的英特尔处理器容易受到新型网络攻击
敏感数据面临风险
通过利用这些漏洞,可以策划所谓的攻击供应链。此类攻击涉及通过渗透第三方提供的软件、硬件或服务来破坏系统。黑客不是直接攻击主要目标,而是利用其供应商或合作伙伴的漏洞。这就是发生的事情MOVEit 黑客攻击期间去年。在这种情况下,黑客攻击的不是应用程序,而是 CocoaPods。
研究人员表示,主要的失败在于电子邮件验证机制,该机制用于验证外部库开发人员的身份。该系统旨在将验证链接发送到开发人员提供的电子邮件地址。不幸的是,该漏洞使攻击者有可能操纵验证链接 URL,将开发人员重定向到受其控制的恶意服务器。然后,攻击者欺骗他的目标来访问图书馆。它可以将恶意代码植入其中以实施大规模网络攻击。总共,三个明显的错误被发现了。另外两次违规也导致了代码注入。
“渗透到这些工具的服务器或开发人员帐户的攻击者可能会推送广泛传播的恶意更新”,总结了 EVA 信息安全。
进攻结束时,攻击者可以得到他的手敏感数据来自应用程序的信息,例如信用卡号、医疗信息或其他个人数据。此信息对于网络犯罪分子来说很有价值。它们使得实施其他网络攻击、抢劫银行账户、部署勒索软件甚至盗用互联网用户的身份成为可能。
十年的脆弱
据研究人员称,安全漏洞是近十年来一直处于空白状态。该漏洞出现于 2014 年“迁移过程”。十年来,黑客可以在应用程序中添加恶意代码而不受惩罚,使数百万甚至数十亿苹果产品用户面临风险。
该漏洞于去年十月被发现。接到 EVA 信息安全研究人员的警报后,CocoaPods 立即采取措施纠正这种情况。在一篇博文,负责人表示已经处理“在问题出现时予以纠正”。特别是,他们有“清除所有会话密钥,以确保没有人可以在没有控制注册电子邮件地址的情况下访问帐户”。
没有迹象表明这些缺陷被黑客利用。然而,“仅仅因为它尚未被证明并不意味着它没有发生”CocoaPods 负责人 Orta Therox 承认。同样,EVA 信息安全研究人员补充说“缺席证明并不是没有证据”。
来源 : EVA信息安全
