Израильская компания EVA Information Security, занимающаяся кибербезопасностью и тестированием, обнаружила ошибку в Cocoapods, широко используемом менеджере зависимостей для программных проектов, написанных на языках программирования Swift и Objective-C.
Менеджер зависимостей — важный инструмент разработки программного обеспечения, позволяющий проверять и криптографически подписывать программные пакеты. Поэтому проблема с таким инструментом может негативно повлиять на многие компоненты программного обеспечения или веб-сайта.
По данным EVA Information Security, проблема, возможно, существовала с 2014 года и является результатом неудачной миграции сервера Cocoapods, в результате которой тысячи пакетов программных библиотек оказались оторванными от своих исходных файлов и не смогли отследить их происхождение. Это лазейка, позволяющая злоумышленникам заменять исходный код своим вредоносным кодом.
«Из-за недостатков безопасности системы эти пакеты могут быть перехвачены злоумышленниками и использованы для внедрения вредоносного ПО в инструменты разработки программного обеспечения. Поскольку они долгое время не были обнаружены, это означает, что за эти годы уязвимости подверглись тысячи приложений и миллионы устройств», — заявил представитель компании.
Поскольку многие приложения имеют доступ к конфиденциальной информации пользователей, такой как данные кредитных карт, медицинские карты и личные документы, хакеры могут воспользоваться уязвимостями, установить программы-вымогатели или другие типы вредоносного ПО для ее сбора.
По мнению EVA Information Security, Apple находится «в центре беспорядка», поскольку большинство приложений iOS и macOS написаны на языках Swift и Objective-C, включая такие популярные названия, как TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.
В результате могут быть затронуты тысячи приложений на этих платформах. Атака на экосистему мобильных приложений может заразить большинство устройств Apple, что поставит тысячи организаций под угрозу финансовой и репутационной безопасности.
Сообщается, что Cocoapods исправили эти ошибки, но тот факт, что они оставались незамеченными почти десять лет, вызывает беспокойство. EVA Information Security рекомендует разработчикам проверить исходный код своих продуктов, чтобы определить, уязвимо ли их программное обеспечение.
Apple пока не прокомментировала эту новость.
Источник: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
Комментарий (0)