EVA Information Security บริษัทด้านความปลอดภัยทางไซเบอร์และการทดสอบที่ตั้งอยู่ในอิสราเอล ได้ค้นพบจุดบกพร่องใน Cocoapods ซึ่งเป็นโปรแกรมจัดการการอ้างอิงที่ใช้กันอย่างแพร่หลายสำหรับโปรเจ็กต์ซอฟต์แวร์ที่เขียนโค้ดด้วยภาษาการเขียนโปรแกรม Swift และ Objective-C
Dependency Manager เป็นเครื่องมือสำคัญในการพัฒนาซอฟต์แวร์ ช่วยให้สามารถตรวจสอบและลงนามในรหัสลับของแพ็คเกจซอฟต์แวร์ได้ ดังนั้น ปัญหาที่เกิดขึ้นกับเครื่องมือดังกล่าวอาจส่งผลกระทบเชิงลบต่อหลายส่วนของซอฟต์แวร์หรือเว็บไซต์
จากข้อมูลของ EVA Information Security ปัญหานี้อาจเกิดขึ้นตั้งแต่ปี 2014 และเป็นผลมาจากการโยกย้ายเซิร์ฟเวอร์ Cocoapods ที่ล้มเหลว ส่งผลให้แพ็กเกจไลบรารีซอฟต์แวร์หลายพันรายการไม่ได้เชื่อมโยงกับไฟล์ต้นฉบับดั้งเดิม และไม่สามารถติดตามต้นทางได้ นี่เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถแทนที่ซอร์สโค้ดดั้งเดิมด้วยโค้ดอันตรายของตนเองได้
"เนื่องจากข้อบกพร่องด้านความปลอดภัยของระบบ แพ็กเกจเหล่านี้อาจถูกแฮ็กโดยผู้ไม่ประสงค์ดีและนำไปใช้เพื่อแทรกมัลแวร์ลงในเครื่องมือพัฒนาซอฟต์แวร์สำหรับนักพัฒนา เนื่องจากไม่ได้รับการตรวจพบเป็นเวลานาน หมายความว่าแอปพลิเคชันนับพันและอุปกรณ์หลายล้านเครื่องถูกเปิดเผยตลอดหลายปีที่ผ่านมา" ตัวแทนของบริษัทกล่าว
เนื่องจากแอปต่างๆ จำนวนมากมีสิทธิ์เข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อน เช่น บัตรเครดิต บันทึก ทางการแพทย์ และเอกสารส่วนตัว แฮกเกอร์จึงสามารถใช้ประโยชน์จากช่องโหว่ ติดตั้งแรนซัมแวร์หรือมัลแวร์ประเภทอื่นๆ เพื่อรวบรวมข้อมูลเหล่านี้ได้
EVA Information Security เชื่อว่า Apple เป็น "ศูนย์กลางของความยุ่งยาก" เนื่องจากแอปพลิเคชัน iOS และ macOS ส่วนใหญ่ถูกเขียนโค้ดด้วยภาษา Swift และ Objective-C รวมถึงชื่อยอดนิยมเช่น TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger
ส่งผลให้แอปพลิเคชันนับพันบนแพลตฟอร์มเหล่านี้อาจได้รับผลกระทบ การโจมตีระบบนิเวศแอปพลิเคชันมือถืออาจส่งผลกระทบต่ออุปกรณ์ Apple ส่วนใหญ่ ส่งผลให้องค์กรหลายพันแห่งมีความเสี่ยงทั้งทางการเงินและชื่อเสียง
มีรายงานว่า Cocoapods ได้แก้ไขข้อบกพร่องเหล่านี้แล้ว แต่การที่ข้อบกพร่องเหล่านี้ไม่ได้รับการค้นพบมานานเกือบสิบปีนั้น ถือเป็นเรื่องที่น่ากังวล EVA Information Security แนะนำให้นักพัฒนาตรวจสอบซอร์สโค้ดของผลิตภัณฑ์ เพื่อตรวจสอบว่าซอฟต์แวร์ของตนมีช่องโหว่หรือไม่
Apple ยังไม่ได้แสดงความคิดเห็นใดๆ เกี่ยวกับข่าวนี้
ที่มา: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
การแสดงความคิดเห็น (0)