吳明宜E.V.A. Information Security發現CocoaPods漏洞,可能影響數千iOS與macOS應用程式。
安全廠商 E.V.A. Information Security 研究人員發現開原碼軟體 CocoaPods 的漏洞,可能被攻擊者用來駭入數千 iOS 與 macOS 應用程式。
CocoaPod 可讓開發人員在其 App 中加入現有軟體函式庫。但它有三個重大漏洞,其中最重大漏洞是 CVE-2024-38366,可被攻擊者將惡意程式碼加入使用 CocoaPods 的 App,而且存在時間長達近 10 年。
研究人員指出,CVE-2024-38366 可允許駭客接管軟體套件(稱為 Pods),而無需透過任何「所有權驗證流程」。由此,攻擊者可以操控、改造原始碼或在剛取得所有權的 Pod 中注入惡意內容。接下來這些 pods 就能感染許多下游應用。
由於 CocoaPods 官方稱全球有 300 多萬個 App 使用,也讓此一漏洞格外引人注意。研究人員警告,幾乎所有蘋果裝置都可能受害,導致數千家企業組織蒙受金錢或名譽損失。
好消息是,三項漏洞已經修補。但 CocoaPods 開發組織無法斷言,是否攻擊者也能暗中變更受感染 App 的設定或程式碼。如果是,後果挺嚴重,尤其可能曝險時間長達 9 年。
CVE-2024-38366 突顯了有瑕疵的開原碼軟體對整個軟體生態體系會帶來多大風險,像是 2021 年的 Apache Log4j 。由於開原碼專案多半是由開發人員無酬投入,讓軟體專案陷人被駭風險。
Google 和美國白宮已經著手推動支持安全開原軟體計畫。 E.V.A. Information Security 呼籲科技界增加對 CocoaPods 之類開原碼工具的管理。
來源:PC Magazine