Milyonlarca iOS ve macOS uygulaması, EVA Information Security tarafından keşfedilen ve potansiyel tedarik zinciri saldırıları için kullanılabilecek bir güvenlik açığı nedeniyle tehlikede. Güvenlik açığı, birçok popüler uygulamanın geliştirildiği açık kaynak deposu CocoaPods’da bulundu.
CocoaPods’ta bulunan güvenlik açığı, yaklaşık 3 milyon iOS ve macOS uygulamasını etkiledi
CocoaPods, geliştiricilerin üçüncü taraf kodlarını uygulamalarına entegre etmelerini kolaylaştıran bir açık kaynak kütüphanesi. Bir kütüphane güncellendiğinde, bu kütüphaneyi kullanan uygulamalar otomatik olarak en son güncellemeleri alıyor.
EVA Information Security, bu açığın saldırganların kredi kartı bilgileri, tıbbi kayıtlar ve hatta özel materyaller gibi hassas uygulama verilerine erişmesine neden olabileceğini ortaya çıkardı. Bu veriler, fidye yazılımı, dolandırıcılık, şantaj ve kurumsal casusluk gibi birçok kötü niyetli amaç için kullanılabilir. E bu da ciddi bir sorun.
Güvenlik açığı ve alınan önlemler
Keşfedilen iOS güvenlik açığı, bireysel kütüphane geliştiricilerini doğrulamak için kullanılan güvensiz bir e-posta doğrulama mekanizması ile ilgiliydi. Örneğin bir saldırgan, doğrulama bağlantısındaki URL’yi kötü niyetli bir sunucuya yönlendirebilir. CocoaPods ekibi, bu açıkların düzeltilmesi için adımlar attı.
EVA araştırmacıları, güvenlik açığını CocoaPods geliştiricilerine özel olarak bildirdikten sonra tüm oturum anahtarlarını temizleyerek, kimsenin kayıtlı e-posta adresine sahip olmadan hesaplara erişememesini sağladı.
CocoaPods yöneticileri ayrıca eski kütüphaneleri geri kazanmak için yeni bir prosedür ekledi. Bir yazarın, bu kütüphanelerden birini devralmak için şirketle iletişime geçmesi gerekiyor.
Bu olay ilk değil, 2021 yılında projenin yöneticileri, CocoaPods depolarının yöneten sunucularda rastgele kod çalıştırmasına izin veren bir güvenlik sorununu doğrulamıştı. Bu güvenlik açığı da mevcut paketlerin kötü niyetli sürümlerle değiştirilmesi ve bu kodun iOS ve Mac uygulamalarına girmesi için kullanılabilirdi.
EVA araştırmacıları, uygulamalarında CocoaPods kullanan geliştiricilere, CocoaPods kütüphanelerini her zaman gözden geçirmelerini ve tüm dış kütüphanelerde kötü niyetli kod tespit etmek için güvenlik taramaları yapmalarını tavsiye ediyor.
Milyonlarca iOS ve macOS uygulamasının etkilenebileceği bu güvenlik açığı, kullanıcı verilerinin korunmasının önemini bir kez daha gözler önüne seriyor. Siz ne düşünüyorsunuz? Düşüncelerinizi yorumlarda bizlerle paylaşın.
{{user}} {{datetime}}
{{text}}