Apple kullanıcıları, yakın zamanda Apple için uygulama geliştirmek üzere Swift ve Objective-C projeleri için kod kütüphaneleri barındıran bir bağımlılık yöneticisi olan CocoaPods’ta düzeltilen tespit edilemeyen bir güvenlik açığı nedeniyle on yıldan uzun süredir risk altında kalmış olabilir. Bir rapora göre, güvenlik araştırmacıları tehdit aktörlerinin kötü amaçlı kod enjekte etmesine ve hassas kullanıcı verilerine erişmesine izin verebilecek kritik bir sorun keşfetti ve 3 milyondan fazla iOS ve macOS uygulamasını riske attı.
Apple Uygulamaları Risk Altında
Buna göre araştırmacılar Siber güvenlik firması EVA Information Security’de, CocoaPods’ta daha önce keşfedilmemiş üç güvenlik açığı bulundu ve bu, tehdit aktörlerinin pod olarak bilinen yetim paketlerin mülkiyetini talep etmelerine olanak tanımış olabilir. Bunun, Apple’ın iPhone ve iPad cihazları tarafından kullanılan işletim sistemleri olan iOS ve macOS platformları için uygulamalara kod enjekte etmelerini sağladığı söyleniyor.
Bu güvenlik açığının 2014 yılında CocoaPods’un “ana” sunucusunda bir geçiş sürecinin ardından ortaya çıktığı bildiriliyor. Araştırmacılara göre, tehdit aktörleri, CocoaPods’un kaynak kodunda bulunan bir API ve bir e-posta adresi kullanarak, pod’ların mülkiyetini iddia edebilir ve orijinal kaynak kodlarını kötü amaçlı olanlarıyla değiştirebilirler.
Araştırmacılar, bir diğer güvenlik açığının e-posta doğrulama sürecinin sunucuda keyfi kod çalıştırmasına olanak tanıyarak tehdit aktörünün kapsülleri manipüle etmesine ve değiştirmesine olanak verdiğini iddia ediyor.
Söz konusu saldırılar, milyonlarca iOS ve macOS uygulamasının yanı sıra parolalar, kredi kartı bilgileri, tıbbi kayıtlar gibi hassas kullanıcı verilerini de riske atıyor.
Araştırmacılar, “Bu uygulamalara kod enjekte etmek, saldırganların bu bilgilere akla gelebilecek hemen her türlü kötü amaçlı amaç için erişmesini sağlayabilir – fidye yazılımı, dolandırıcılık, şantaj, kurumsal casusluk… Bu süreçte şirketleri büyük yasal sorumluluklara ve itibar riskine maruz bırakabilir” dedi.
Ayrıca güvenlik açıklarının Ekim 2023’te kapatıldığı iddia ediliyor. Araştırmacılar, CocoaPods’u bu konuda bilgilendirdiklerini ve ardından pod’lara güvenli erişimin sağlanması için tüm oturum anahtarlarının silindiğini söylüyor.
Önceki Güvenlik Açıkları
CocoaPods’un güvenlik açıkları nedeniyle incelemeye alınması ilk kez olmuyor. 2021’de, keşfetti Bağımlılık yöneticisinde yayınlanan kötü amaçlı bir paketin, uzaktan kod yürütme (RCE) sorunu nedeniyle tehdit aktörlerinin sunucularında keyfi kod çalıştırmasına olanak tanıyabileceği ve potansiyel olarak milyonlarca uygulamayı riske atabileceği bildirildi.
Bu güvenlik açığının 2015’ten beri var olduğu tespit edilmiş ve ancak 2021’de düzeltilmişti.