Yaygın olarak kullanılan bir açık kaynaklı yazılım yardımcı programındaki yeni keşfedilen bir dizi güvenlik açığı, iOS ve MacOS ekosistemlerinin büyük bir kısmı için büyük sorun yaratabilir. Söz konusu hatalar, TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger ve diğerleri gibi popüler programlar da dahil olmak üzere binlerce yaygın olarak kullanılan uygulamayı etkileyebilir. ilişkili güvenlik araştırmasıAçık kaynaklı bileşenlerin kendileri yamalanmış olsa da, etkilenen uygulamalar için DevOps ekipleri, kullanıcıları olası istismarlardan korumak için sistemlerinin düzgün bir şekilde güncellendiğinden emin olmak için kesinlikle çabalıyor.
Güvenlik açıkları keşfedildi Hindistan cevizi kabuklularıSwift ve Objective-C programlama dillerinde kodlanmış yazılım projeleri için yaygın olarak kullanılan bir bağımlılık yöneticisi. Bağımlılık yöneticileri, yazılım geliştirme sürecinde hayati araçlardır ve yazılım paketlerinin doğrulanması ve kriptografik imzalanmasına olanak tanır. Böyle bir aracın bozulmasının web’in büyük bölümleri için büyük (ve kötü) etkileri olduğu açıktır.
Cocoapod böcekleri keşfedildi EVA Information Security, bir siber güvenlik ve sızma testi firması olan araştırmacılar tarafından. Hatalar, 2014’te gerçekleşen ve binlerce yazılım paketini “öksüz bırakan” kusurlu bir Cocoapods sunucu geçişinin sonucudur. Sistemdeki güvenlik eksiklikleri nedeniyle, bu paketler kötü niyetli bir aktör tarafından kolayca ele geçirilebilir ve (varsayımsal olarak) bunlara dayanan kurumsal yazılım projelerine kötü amaçlı kod güncellemeleri getirebilecek tedarik zinciri saldırıları gerçekleştirmek için kullanılabilirdi. Araştırmacılar durumu şu şekilde açıklıyor:
2014’teki bir geçiş süreci binlerce yetim paket bıraktı (orijinal sahibi bilinmiyor), bunların çoğu hala diğer kütüphanelerde yaygın olarak kullanılıyor. CocoaPods kaynak kodunda bulunan genel bir API ve e-posta adresi kullanarak, bir saldırgan bu paketlerden herhangi birinin mülkiyetini talep edebilir ve bu da saldırganın orijinal kaynak kodunu kendi kötü amaçlı koduyla değiştirmesine olanak tanır… Keşfettiğimiz güvenlik açıkları, bağımlılık yöneticisinin kendisini ve yayınlanan herhangi bir paketi kontrol etmek için kullanılabilir. Aşağı akış bağımlılıkları, son birkaç yılda binlerce uygulamanın ve milyonlarca cihazın ifşa edildiği anlamına gelebilir.
Üç hatanın hepsi o zamandan beri düzeltildi, ancak ciddiyetleri ve dokuz yıla kadar açıkta kalmaları, birçok yazılım ekibinin geceleri uyanık kalmasına neden oluyor. Apple’ın bu karmaşanın ön saflarında ve merkezinde olmasının nedeni, birçok iOS ve macOS uygulamasının her ikisi de kullanılarak kodlanmış olmasıdır. Süratli Ve Amaç-C dilleri, onları oyundaki sorunlara karşı özellikle hassas hale getiriyor. Araştırmacılar, hataların “binlerce” veya “milyonlarca” uygulamayı etkileyebileceğini ve “mobil uygulama ekosistemine yapılan bir saldırının neredeyse her Apple cihazını etkileyerek binlerce kuruluşu felaket niteliğinde mali ve itibar kaybına karşı savunmasız bırakabileceğini” yazıyor.
Araştırmacılar, uygulamaların gerçekten tehlikeye atıldığını gösteren herhangi bir kanıt görmediklerini söylüyor. Ancak, bazıları tehlikeye atılmışsa, bunun kullanıcılar için büyük bir sorun yaratabileceği açık. Araştırmacılar, birçok uygulamanın “bir kullanıcının en hassas bilgilerine: kredi kartı bilgileri, tıbbi kayıtlar, özel materyaller” erişebildiği için, bir siber suçlunun tehlikeye atılmış pod’lar aracılığıyla uygulamalara kod enjekte edebileceğini ve “bu bilgilere akla gelebilecek hemen hemen her türlü kötü amaçlı amaç için – fidye yazılımı, dolandırıcılık, şantaj, kurumsal casusluk – erişebileceğini” belirtiyor.
Araştırmacılar, kurumsal geliştiricilere ürünlerini gözden geçirmeleri ve “uygulama kodlarında kullanılan açık kaynak bağımlılıklarının bütünlüğünü doğrulamaları” çağrısında bulunarak, sistemlerinin ve müşterilerinin ifşa olmamasını sağlamalarını istedi.
The Açık kaynaklı yazılımlarda ortaya çıkabilecek güvenlik açıkları iyi bilinmektedir. Ticari yazılım endüstrisi, ticari ürünlerini oluşturmak için FOSS’a güvenir, ancak tüm internetin üzerine inşa edildiği özgür yazılım ekosistemini desteklemek ve güvence altına almak için çok az zaman harcanır. Sonuçlar, tahmin edilebileceği gibi, iyi değildir.
Gizmodo yorum almak için Apple’a ulaştı ve yanıt gelmesi durumunda bu haberi güncelleyecek.