开源软件的漏洞使“几乎所有 Apple 设备”面临黑客攻击
安全研究人员发现了一个开源软件项目的漏洞,该漏洞可能被用来攻击数千个 iOS 和 macOS 应用。
这个威胁与 CocoaPods 有关,程序员使用 CocoaPods 将现有的软件库集成到他们的应用程序中。但它目前存在三个严重的漏洞 ,包括一个长达十年的漏洞,可以被用来秘密地向依赖 CocoaPods 的应用程序引入恶意代码。
这个威胁尤其令人震惊,因为 CocoaPods 声称它被用于超过 300 万个应用程序。此类针对移动应用生态系统的攻击可能会感染几乎所有 Apple 设备,使数千个组织面临灾难性的财务和信誉损害,以色列的 E.V.A. 信息安全公司研究人员警告说。
开源软件的漏洞使“几乎所有 Apple 设备”面临黑客攻击
在这三个漏洞中,最严重的是 CVE-2024-38366,它可以让黑客接管未经认领的软件包(称为 Pods),而无需经过任何“所有权验证过程”,安全公司表示。
此时,攻击者将能够操纵源代码或在新认领的 Pod 中插入恶意内容。然后,这个 Pod 将继续感染许多下游依赖项,E.V.A. 信息安全公司补充道。
好消息是,在 E.V.A. 信息安全公司向 CocoaPods 报告威胁后,这三个漏洞都得到了修复。修复措施包括“擦除所有会话密钥”,以防止任何未经授权的用户进行代码更新。
然而,CocoaPods 的开发人员无法确定黑客是否曾经利用这些漏洞秘密更改任何受影响的应用程序。这触及了自启动以来一直位于 trunk(CocoaPods 的中央存储库)中的代码,9 年时间很长,CocoaPods 的项目维护者在一篇博文中写道。
这则新闻凸显了开源软件的漏洞如何危及整个软件生态系统,就像 2021 年的 Apache Log4j 2 漏洞一样。开源项目通常由志愿者程序员维护,这使得它们更容易受到潜在的黑客攻击,这一点更令人担忧。
作为回应,谷歌和白宫都一直在推动加大对开源软件项目的安全保障力度。E.V.A. 信息安全公司现在敦促科技行业加强对 CocoaPods 等开源工具的监督。
虽然采用开源软件几乎不可避免,但也增加了软件供应链攻击的风险,这家安全公司警告说。他们的博客文章中包含了一些提示,可供 CocoaPods 用户用来确保他们的代码安全可用。
