JAKARTA - Sebuah laporan baru mengungkap bahwa sekitar 3 juta aplikasi untuk iOS dan macOS terpapar pada serangan rantai pasokan yang berpotensi mengancam. Rentang kerentanan ini telah berlangsung selama hampir 10 tahun dan baru-baru ini ditemukan oleh peneliti keamanan.
Kerentanan tersebut, yang berhasil diperbaiki pada Oktober tahun lalu, terletak pada server "trunk" yang digunakan untuk mengelola CocoaPods, sebuah repositori untuk proyek-proyek open source Swift dan Objective-C yang bergantung padanya.
Ketika pengembang melakukan perubahan pada salah satu "pods" mereka—istilah CocoaPods untuk paket kode individu—aplikasi yang bergantung biasanya menginkorporasikannya secara otomatis melalui pembaruan aplikasi, tanpa interaksi yang dibutuhkan oleh pengguna akhir.
Ada tiga kerentanan utama yang ditemukan oleh peneliti dari EVA Information Security. Yang pertama, CVE-2024-38367, memungkinkan penyerang untuk menyisipkan kode yang berbahaya melalui mekanisme email verifikasi yang tidak aman. Yang kedua, CVE-2024-38368, memungkinkan penyerang mengambil alih pods yang ditinggalkan oleh pengembangnya. Sementara yang ketiga, CVE-2024-38366, memungkinkan penyerang untuk menjalankan kode pada server trunk, memberikan akses penuh pada server tersebut.
BACA JUGA:
Para peneliti menemukan bahwa kerentanan ini dapat dieksploitasi untuk mendapatkan akses ke informasi sensitif pengguna seperti detail kartu kredit, rekam medis, dan materi pribadi lainnya. Mereka menggarisbawahi bahwa serangan semacam ini bisa digunakan untuk tujuan yang jahat seperti ransomware, penipuan, atau spionase korporat, yang berpotensi menimbulkan risiko hukum dan reputasi bagi perusahaan.
Meskipun kerentanan ini sudah diperbaiki, penemuan ini menunjukkan betapa pentingnya pengelolaan keamanan dalam pengembangan perangkat lunak, terutama ketika bergantung pada dependensi pihak ketiga seperti CocoaPods. Para pengembang aplikasi iOS dan macOS disarankan untuk memperbarui file podfile.lock secara teratur, melakukan validasi CRC terhadap dependensi dari CocoaPods, serta menjalankan tinjauan keamanan menyeluruh terhadap kode pihak ketiga yang digunakan.
Sementara belum ada bukti langsung bahwa kerentanan ini dieksploitasi di alam liar, penting bagi pengembang aplikasi untuk tetap waspada dan menerapkan langkah-langkah pencegahan yang disarankan untuk melindungi pengguna akhir dari potensi risiko keamanan yang mungkin timbul.