#頭條創作挑戰賽#
快速導讀
CocoaPods伺服器中存在十年未被發現的漏洞,可能導緻供應鍊攻擊,影響約300萬macOS和iOS應用程式。漏洞已在十月得到修複,由EVA資訊安全團隊揭示的代碼注入風險可能導緻未經授權通路敏感使用者資訊,可能引發勒索軟體和其他惡意活動。研究人員發現了三個漏洞,其中一個允許攻擊者操縱URL,另一個可接管被棄用的pods,第三個漏洞允許攻擊者在主幹伺服器上執行代碼。這些漏洞的利用可能對使用者資料安全和公司聲譽造成嚴重威脅,需要及時修複以避免潛在風險。
CocoaPods 伺服器中的漏洞
這些漏洞在十年間未被察覺,使成千上萬的 macOS 和 iOS 應用程式面臨潛在的供應鍊攻擊。這些漏洞在十月份得到修複,位于管理 CocoaPods 的中央伺服器中,這是約 300 萬 macOS 和 iOS 應用程式至關重要的存儲庫。當開發人員對他們的代碼包(稱為“pods”)進行更改時,這些更改會自動通過更新合并到依賴應用程式中,通常無需終端使用者采取任何操作。
代碼注入風險
EVA 資訊安全團隊發現了這些漏洞,揭示了将惡意代碼注入應用程式帶來的嚴重風險。這可能導緻對敏感使用者資訊(包括信用卡詳細資訊、醫療記錄和私人資料)的未經授權通路。此類違規行為可能導緻嚴重後果,如勒索軟體、欺詐和企業間諜活動,為受影響公司帶來法律和聲譽風險。
利用漏洞
EVA 研究人員确定了三個可被利用以危害 CocoaPods 使用者安全的漏洞。其中一個漏洞允許攻擊者操縱 URL,将使用者重定向到他們控制的伺服器,可能暴露敏感資料。另一個漏洞使攻擊者能夠接管仍在使用中的被棄用 pods,即使沒有所有權證明。此外,第三個漏洞允許攻擊者利用電子郵件位址驗證機制中的漏洞在主幹伺服器上執行代碼。