雅加达 - 一份新报告显示,约有300万台iOS和macOS应用程序暴露于潜在的威胁供应链攻击。这种漏洞范围已经持续了近10年,最近被安全研究人员发现。

该漏洞于去年10月成功修复,位于用于管理CocoaPods的“电线”服务器上,CocoaPods是依赖于其的开源Swift和Objective-C项目的备份库。

当开发人员对其“Pods”之一(单个代码包的CocoaPods设置)进行更改时,依赖应用程序通常会通过应用程序更新自动将其同步,而无需最终用户所需的互动。

EVA信息安全研究人员发现了三个主要漏洞。首先,CVE-2024-38367,允许攻击者通过不安全的验证电子邮件机制输入恶意代码。其次,CVE-2024-38368,允许攻击者接管其开发人员留下的 pods。而第三,CVE-2024-38366,允许攻击者在电路服务器上运行代码,从而完全访问服务器。

研究人员发现,这些漏洞可以被利用来访问用户的敏感信息,如信用卡详情、医学记录和其他个人材料。他们强调,此类攻击可能被用于勒索软件、欺诈或企业间谍活动等恶意目的,这可能会给公司构成法律和声誉风险。

虽然这些漏洞已经修复,但这一发现表明了安全管理在软件开发中的重要性,特别是当依赖于CocoaPods等第三方依赖时。建议iOS和macOS应用程序的开发人员定期更新 podfile.lock 文件,对CocoaPods依赖性进行CRC验证,并对所用第三方代码进行彻底的安全审查。

虽然没有直接的证据表明这种漏洞是在野外被利用的,但对于应用程序开发人员来说,保持警惕并实施建议的预防措施是很重要的,以保护最终用户免受可能出现的潜在安全风险。


The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)