جاكرتا - كشف تقرير جديد أن حوالي 3 ملايين تطبيق لنظام iOS و macOS تعرضوا لهجمات سلسلة التوريد التي يمكن أن تكون مهددة. يستمر هذا النطاق من الضعف منذ ما يقرب من 10 سنوات وقد اكتشفه باحثون أمنيون مؤخرا.
وتقع نقاط الضعف، التي تم إصلاحها بنجاح في أكتوبر من العام الماضي، على خادم "trunk" يستخدم لإدارة CocoaPods، وهو مستودع لمشاريع Swift مفتوحة المصدر و Objective-C تعتمد عليه.
عندما يقوم المطورون بإجراء تغييرات على أحد "بودز" الخاص بهم - اسم CocoaPods لخطط رمز فردية - عادة ما تقوم التطبيقات المعتمدة بتوريطها تلقائيا من خلال تحديث التطبيق ، دون التفاعل الذي يحتاجه المستخدم النهائي.
هناك ثلاثة نقاط ضعف رئيسية اكتشفها باحثون من أمن معلومات EVA. الأول ، CVE-2024-38367 ، يسمح للمهاجمين بإدخال رموز ضارة من خلال آلية بريد إلكتروني تحقق غير آمنة. والثاني ، CVE-2024-38368 ، يسمح للمهاجمين بالاستيلاء على البودزات التي تركها مطوروها. في حين أن الثالث ، يسمح CVE-2024-38366 للمهاجمين بتشغيل رمز على خادم trunk ، مما يوفر وصولا كاملا إلى الخادم.
وجد الباحثون أن هذا الضعف يمكن استغلاله للوصول إلى المعلومات الحساسة للمستخدم مثل تفاصيل بطاقات الائتمان والسجلات الطبية وغيرها من المواد الشخصية. وهم يؤكدون أن هذا النوع من الهجمات يمكن استخدامه لأغراض خبيثة مثل برامج الفدية أو الاحتيال أو التجسس على الشركات، والتي يمكن أن تشكل خطرا قانونيا وسمعة للشركة.
على الرغم من إصلاح هذه الثغرات ، إلا أن هذا الاكتشاف يظهر مدى أهمية إدارة الأمان في تطوير البرامج ، خاصة عندما يعتمد الأمر على اعتماد طرف ثالث مثل CocoaPods. ينصح مطورو تطبيقات iOS و macOS بتحديث ملفات podfile.lock بانتظام ، والتحقق من صحة CRC ضد الاعتماد على CocoaPods ، بالإضافة إلى إجراء مراجعة أمنية شاملة لرموز الطرف الثالث المستخدمة.
في حين لا يوجد دليل مباشر على أن هذه الضعف يتم استغلالها في البرية ، فمن المهم لمطوري التطبيقات أن يظلوا يقظين وأن ينفذوا تدابير وقائية مقترحة لحماية المستخدمين النهائيين من المخاطر الأمنية المحتملة التي قد تنشأ.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)