300万のiOSおよびmacOSアプリが潜在的に危険なサプライチェーン攻撃に対して脆弱

新しいレポートによると、iOSとmacOS用の約300万のアプリケーションが潜在的に脅威的なサプライチェーン攻撃にさらされています。この脆弱性の範囲はほぼ10年間続いており、最近セキュリティ研究者によって発見されました。

昨年10月に正常に修正されたこの脆弱性は、SwiftおよびObjective-CオープンソースプロジェクトのリポジトリであるCocoaPodsを管理するために使用される「トランク」サーバーにあります。

開発者が「ポッド」の1つ(個々のコードプランのCocoaPodsという用語)を変更すると、依存するアプリは通常、エンドユーザーが必要とする相互作用なしで、アプリのアップデートを通じて自動的に同期します。

EVA情報セキュリティの研究者が発見した3つの主な脆弱性があります。まず、CVE-2024-38367は、攻撃者が安全でない確認メールメカニズムを介して悪意のあるコードを入力できるようにします。第二に、CVE-2024-38368は、攻撃者が開発者によって残されたポッドキャストを引き継ぐことを可能にします。第三に、CVE-2024-38366は、攻撃者がトランクサーバーでコードを実行できるようにし、サーバーにフルアクセスを与えます。

研究者らは、この脆弱性が、クレジットカードの詳細、医療記録、その他の個人資料などの機密ユーザー情報にアクセスするために悪用される可能性があることを発見しました。彼らは、この種の攻撃は、ランサムウェア、詐欺、企業スパイなどの悪意のある目的で使用される可能性があり、企業に法的リスクと評判をもたらす可能性があることを強調しました。

この脆弱性は修正されましたが、この発見は、ソフトウェア開発において、特にCocoaPodsなどのサードパーティの依存度に依存する場合、セキュリティ管理がいかに重要であるかを示しています。iOSおよびmacOSアプリケーションの開発者は、定期的に podcast水準.lock ファイルを更新し、CocoaPodsからの依存度をCRC検証し、使用されるサードパーティコードの徹底的なセキュリティレビューを実行することをお勧めします。

この脆弱性が野生で悪用されているという即時の証拠はありませんが、アプリ開発者は警戒を怠らず、エンドユーザーを潜在的なセキュリティリスクから保護するために推奨される予防策を実施することが重要です。