این آسیب پذیری خطرناک حدود 3 میلیون اپلیکیشن iOS را در معرض دید قرار داد

این آسیب‌پذیری حدود 10 سال در ابزار متن‌باز CocoaPods وجود داشته است.

کارشناسان امنیتی در یکی از ابزارهای پرکاربرد برنامه‌نویسی آسیب‌پذیری خطرناکی را کشف کرده‌اند که حدود 3 میلیون‌ اپلیکیشن iOS و macOS را به خطر می‌اندازد و ممکن است هکرها برای حملات سایبری از آن استفاده کنند. این آسیب‌پذیری حدود 10 سال در ابزار متن‌باز CocoaPods وجود داشته است.

براساس گزارش EVA Information Security، آسیب‌پذیری‌ کشف‌شده در ابزار CocoaPods می‌تواند مشکلات بزرگی برای طیف گسترده‌ای از برنامه‌های iOS و MacOS ایجاد کند. به گفته محققان امنیتی، این مشکل می‌تواند هزاران اپ‌ محبوب را تحت‌تأثیر قرار دهند؛ مانند نتفلیکس، اسنپ‌چت، فیسبوک مسنجر، مایکروسافت تیم و تیک‌تاک.

آسیب‌پذیری CocoaPods و هزاران اپلیکیشن iOS در معرض خطر

ابزار مفید CocoaPods این امکان را به توسعه‌دهندگان می‌دهد تا کدهای شخص ثالث را از طریق کتابخانه‌های متن‌باز در برنامه‌هایشان ادغام کنند. وقتی کتابخانه‌ای به‌روزرسانی می‌شود، برنامه‌هایی که عضو آن هستند نیز خودکار آخرین به‌روزرسانی‌ها را دریافت می‌کنند.

طبق گفته محققان، حدود 3 میلیون اپلیکیشن iOS و macOS که با CocoaPods ساخته شده‌اند، حدود 10 سال است که آسیب‌پذیر بوده‌اند. محققان کشف کردند که این آسیب‌پذیری می‌تواند راهی برای هکرها فراهم کند تا به داده‌های حساس برنامه مانند جزئیات کارت اعتباری، سوابق پزشکی و مطالب خصوصی دسترسی پیدا کنند. این داده‌ها می‌توانند برای اهداف مختلفی، مانند کلاهبرداری، باج‌خواهی و جاسوسی، استفاده شوند.

این آسیب‌پذیری در واقع نتیجه انتقال ناقص سرورهای CocoaPods در سال 2014 بود که هزاران بسته نرم‌افزاری را به‌اصطلاح «یتیم» کرد (مالک آن بسته مشخص نیست.)؛ نکته اصلی این است که هنوز بسیاری از این بسته‌ها به‌طور گسترده در کتابخانه‌های این ابزار استفاده می‌شوند.

هکر می‌تواند با استفاده از API عمومی و آدرس ایمیل که در کد منبع CocoaPods موجود است، ادعای مالکیت هریک از این بسته‌ها را بکند؛ سپس این امکان به مهاجم داده می‌شود که کد منبع اصلی را با کد مخرب خودش جایگزین کند. هرچند این باگ‌ها برطرف شده‌اند، شدت این آسیب‌پذیری و مدت‌ طولانی وجود آن در برنامه‌ها باعث می‌شود بسیاری از اپ‌ها به‌صورت بالقوه در معرض خطر قرار داشته باشند. توسعه‌دهندگان باید ضمن به‌روزرسانی برنامه‌هایشان، مطمئن شوند به اپ‌هایشان رخنه‌ نشده باشد. البته محققان می‌گویند هنوز هیچ مدرکی دال بر به‌خطرافتادن برنامه‌ها پیدا نکرده‌اند.