イスラエルに拠点を置くサイバーセキュリティおよびテスト企業であるEVA Information Securityは、SwiftおよびObjective-Cプログラミング言語でコーディングされたソフトウェアプロジェクトで広く使用されている依存関係マネージャーであるCocoapodsにバグを発見しました。

Dependency Manager はソフトウェア開発プロセスにおける重要なツールであり、ソフトウェア パッケージの認証と暗号署名を可能にします。したがって、このようなツールに問題が発生すると、ソフトウェアや Web の多くの部分に悪影響が及ぶことになります。

EVA Information Security によると、この問題は 2014 年から存在していた可能性があり、Cocoapods サーバーの移行が失敗した結果、何千ものソフトウェア ライブラリ パッケージが元のソース ファイルにリンクされなくなり、ソースをたどることができなくなったとのことです。これは、攻撃者が元のソース コードを独自の悪意のあるコードに置き換えることを可能にする抜け穴です。

「システムセキュリティ上の欠陥により、これらのパッケージは悪意のある人物に乗っ取られ、開発者向けソフトウェア開発ツールにマルウェアを注入するために使用される可能性があります。これらのパッケージは長い間検出されなかったため、長年にわたり数千ものアプリケーションと数百万台のデバイスが危険にさらされてきました」と、同社の担当者は述べた。

多くのアプリはクレジットカード、医療記録、個人文書などの機密性の高いユーザー情報にアクセスできるため、ハッカーは脆弱性を悪用し、ランサムウェアやその他の種類のマルウェアをインストールして情報を収集する可能性があります。

EVA Information Securityは、TikTok、Snapchat、LinkedIn、Netflix、Microsoft Teams、Facebook、Messengerなどの人気アプリを含むほとんどのiOSおよびmacOSアプリケーションがSwiftおよびObjective-C言語でコーディングされていることから、Appleが「混乱の中心にいる」と考えています。

その結果、これらのプラットフォーム上の何千ものアプリが影響を受ける可能性があります。モバイル アプリ エコシステムへの攻撃により、ほとんどの Apple デバイスが感染し、何千もの組織が財務上および評判上の危険にさらされる可能性があります。

このバグはCocoapodsによって修正されたと報告されているが、10年近くも発見されなかったという事実は懸念材料となっている。 EVA 情報セキュリティでは、開発者が製品のソース コードを確認して、ソフトウェアにバグの脆弱性があるかどうかを判断することを推奨しています。

アップルはこのニュースについてまだコメントしていない。