3百万台iOS和macOS应用程序容易受到潜在危险的供应链攻击

雅加达 - 一份新报告显示,约有300万台iOS和macOS应用程序暴露于潜在的威胁供应链攻击。这种漏洞范围已经持续了近10年,最近被安全研究人员发现。

该漏洞于去年10月成功修复,位于用于管理CocoaPods的“电线”服务器上,CocoaPods是依赖于其的开源Swift和Objective-C项目的备份库。

当开发人员对其“Pods”之一(单个代码包的CocoaPods设置)进行更改时,依赖应用程序通常会通过应用程序更新自动将其同步,而无需最终用户所需的互动。

EVA信息安全研究人员发现了三个主要漏洞。首先,CVE-2024-38367,允许攻击者通过不安全的验证电子邮件机制输入恶意代码。其次,CVE-2024-38368,允许攻击者接管其开发人员留下的 pods。而第三,CVE-2024-38366,允许攻击者在电路服务器上运行代码,从而完全访问服务器。

研究人员发现,这些漏洞可以被利用来访问用户的敏感信息,如信用卡详情、医学记录和其他个人材料。他们强调,此类攻击可能被用于勒索软件、欺诈或企业间谍活动等恶意目的,这可能会给公司构成法律和声誉风险。

虽然这些漏洞已经修复,但这一发现表明了安全管理在软件开发中的重要性,特别是当依赖于CocoaPods等第三方依赖时。建议iOS和macOS应用程序的开发人员定期更新 podfile.lock 文件,对CocoaPods依赖性进行CRC验证,并对所用第三方代码进行彻底的安全审查。

虽然没有直接的证据表明这种漏洞是在野外被利用的,但对于应用程序开发人员来说,保持警惕并实施建议的预防措施是很重要的,以保护最终用户免受可能出现的潜在安全风险。