אזהרה מפני פגיעויות מסוכנות התוקפות את מערכת ההפעלה iOS

[מודעה_1]

חברת EVA Information Security, שבסיסה בישראל, גילתה באג ב-Cocoapods, תוכנת מנהל תלויות נפוצה עבור פרויקטי תוכנה המקודדים בשפות התכנות Swift ו-Objective-C.

מנהל התלויות הוא כלי חשוב בפיתוח תוכנה, המאפשר אימות וחתימה קריפטוגרפית של חבילות תוכנה. לכן, בעיה בכלי כזה יכולה להיות בעלת השפעה שלילית על חלקים רבים של התוכנה או האינטרנט.

אלפי אפליקציות iOS עלולות להיות בסיכון עקב פגיעות בקוד פתוח.

לפי EVA Information Security, ייתכן שהבעיה קיימת מאז 2014, והיא תוצאה של הגירה כושלת של שרת Cocoapods שהותירה אלפי חבילות ספריית תוכנה לא מקושרות לקבצי המקור המקוריים שלהן ולא ניתן היה לעקוב אחריהם למקור. זה אפשר לתוקפים להחליף את קוד המקור המקורי בקוד זדוני משלהם.

נציג החברה הצהיר: "בשל ליקויים באבטחת המערכת, חבילות אלו עלולות להיפגע על ידי אנשים רעים, ולאחר מכן להשתמש בהן כדי להחדיר תוכנות זדוניות לכלי פיתוח תוכנה עבור מפתחים. מכיוון שלא זוהו במשך זמן רב, פירוש הדבר שאלפי אפליקציות ומיליוני מכשירים נחשפו במהלך השנים."

עם גישה למידע רגיש של משתמשים על ידי אפליקציות רבות כמו כרטיסי אשראי, רשומות רפואיות ומסמכים פרטיים, האקרים יכולים לנצל פגיעויות, להתקין תוכנות כופר או סוגים אחרים של תוכנות זדוניות כדי לאסוף אותן.

ב-EVA Information Security מאמינים שאפל נמצאת "במרכז הבלגן" כאשר רוב יישומי iOS ו-macOS מקודדים בשפות Swift ו-Objective-C, כולל שמות פופולריים כמו TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger.

כתוצאה מכך, אלפי אפליקציות בפלטפורמות אלו עלולות להיפגע. מתקפה על המערכת האקולוגית של אפליקציות מובייל עלולה להדביק את רוב מכשירי אפל, ולהשאיר אלפי ארגונים פגיעים מבחינה כלכלית ותדמיתית.

דווח כי הבאגים תוקנו על ידי Cocoapods, אך העובדה שהם לא התגלו במשך כמעט עשור היא סיבה לדאגה. EVA Information Security ממליצה למפתחים לבדוק את קוד המקור של המוצר שלהם כדי לקבוע אם התוכנה שלהם פגיעה.

אפל טרם הגיבה לידיעה.

[מודעה_2]
מקור: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html