אזהרה: פגיעות מסוכנת תוקפת את מערכת ההפעלה iOS.

[מודעה_1]

חברת EVA Information Security, חברה ישראלית בתחום אבטחת סייבר ובדיקות, גילתה פגיעות ב-Cocoapods, תוכנת ניהול תלויות הנמצאת בשימוש נרחב עבור פרויקטים של תוכנה המקודדים ב-Swift וב-Objective-C.

מנהלי תלות הם כלים חיוניים בפיתוח תוכנה, המאפשרים אימות וחתימה קריפטוגרפית של חבילות תוכנה. לכן, בעיות בכלי כזה עלולות להשפיע לרעה על חלקים רבים של התוכנה או אתר האינטרנט.

אלפי אפליקציות iOS עלולות להיות בסיכון עקב פגיעות בקוד פתוח.

לפי EVA Information Security, ייתכן שהבעיה קיימת מאז 2014, כתוצאה מהעברה מגושמת של שרתי Cocoapods שגרמה לאלפי חבילות ספריית תוכנה לאבד את קוד המקור המקורי שלהן ולהפוך לבלתי ניתנות לאיתור. פגיעות זו אפשרה לתוקפים להחליף את קוד המקור המקורי בקוד זדוני משלהם.

נציג החברה הצהיר: "בשל פגמי אבטחה במערכת, חבילות אלו עלולות להיפגע על ידי גורמים זדוניים ולאחר מכן להשתמש בהן להחדרת תוכנות זדוניות לכלי פיתוח תוכנה עבור מפתחים. מכיוון שהן לא זוהו במשך זמן כה רב, משמעות הדבר היא שאלפי יישומים ומיליוני מכשירים נחשפו במהלך השנים."

עם גישה למידע רגיש של משתמשים, כגון פרטי כרטיסי אשראי, רשומות רפואיות ומסמכים פרטיים, האקרים יכולים לנצל פגיעויות כדי להתקין תוכנות כופר או תוכנות זדוניות אחרות כדי לאסוף מידע זה.

חברת אבטחת המידע של EVA טוענת שאפל נמצאת "במרכז הבלגן" מכיוון שרוב יישומי iOS ו-macOS מקודדים באמצעות Swift ו-Objective-C, כולל שמות פופולריים כמו TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook ו-Messenger.

לכן, אלפי אפליקציות בפלטפורמות אלו עלולות להיות מושפעות. מתקפה על המערכת האקולוגית של אפליקציות מובייל עלולה להדביק את רוב מכשירי אפל, ולהשאיר אלפי ארגונים פגיעים מבחינה כלכלית ומבחינת מוניטין.

על פי הדיווחים, הפגיעויות הללו תוקנו כעת על ידי Cocoapods, אך העובדה שהן לא זוהו במשך כמעט עשור מדאיגה. EVA Information Security ממליצה למפתחים לבדוק את קוד המקור של המוצר שלהם כדי לקבוע אם התוכנה שלהם מושפעת מפגמים אלה.

אפל טרם הגיבה לידיעה.

[מודעה_2]
מקור: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html