İsrail merkezli siber güvenlik ve test şirketi EVA Information Security, Swift ve Objective-C programlama dilleriyle kodlanmış yazılım projeleri için yaygın olarak kullanılan bir bağımlılık yöneticisi olan Cocoapods'ta bir hata keşfetti.
Bağımlılık Yöneticisi, yazılım geliştirmede yazılım paketlerinin doğrulanmasını ve kriptografik olarak imzalanmasını sağlayan önemli bir araçtır. Bu nedenle, böyle bir araçta yaşanabilecek bir sorun, yazılımın veya web'in birçok bölümünü olumsuz etkileyebilir.
EVA Information Security'ye göre, sorun 2014'ten beri var olabilir ve binlerce yazılım kütüphanesi paketinin orijinal kaynak dosyalarına bağlanmasını ve kaynağına kadar izlenebilmesini engelleyen hatalı bir Cocoapods sunucu geçişinin sonucudur. Bu durum, saldırganların orijinal kaynak kodunu kendi kötü amaçlı kodlarıyla değiştirmelerine olanak sağlamıştır.
Şirket temsilcisi şunları söyledi: "Sistem güvenlik açıkları nedeniyle, bu paketler kötü amaçlı kişiler tarafından ele geçirilebilir ve ardından geliştiricilerin yazılım geliştirme araçlarına kötü amaçlı yazılım enjekte etmek için kullanılabilir. Uzun süre tespit edilmedikleri için, yıllar içinde binlerce uygulama ve milyonlarca cihaz ifşa edilmiş oldu."
Kredi kartları, tıbbi kayıtlar, özel belgeler gibi hassas kullanıcı bilgilerine erişebilen birçok uygulama olduğundan, bilgisayar korsanları bu bilgileri toplamak için güvenlik açıklarından yararlanabilir, fidye yazılımları veya diğer kötü amaçlı yazılım türlerini yükleyebilir.
EVA Bilgi Güvenliği, TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger gibi popüler isimlerin de aralarında bulunduğu çoğu iOS ve macOS uygulamasının Swift ve Objective-C dillerinde kodlandığı bir ortamda Apple'ın "karmaşanın merkezinde" olduğunu düşünüyor.
Sonuç olarak, bu platformlardaki binlerce uygulama etkilenebilir. Mobil uygulama ekosistemine yönelik bir saldırı, çoğu Apple cihazını etkileyerek binlerce kuruluşu finansal ve itibar açısından savunmasız bırakabilir.
Hataların Cocoapods tarafından düzeltildiği bildirilse de, neredeyse on yıldır fark edilmemeleri endişe verici. EVA Information Security, geliştiricilerin yazılımlarının güvenlik açığı olup olmadığını belirlemek için ürünlerinin kaynak kodlarını incelemelerini öneriyor.
Apple'dan henüz haberle ilgili bir açıklama yapılmadı.
[reklam_2]
Kaynak: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
![[Fotoğraf] Başbakan Pham Minh Chinh, 10 numaralı fırtınanın sonuçlarının üstesinden gelmek için toplantıya başkanlık ediyor](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/3/544f420dcc844463898fcbef46247d16)
![[Fotoğraf] Binh Minh İlkokulu öğrencileri dolunay festivalinin tadını çıkarıyor, çocukluk sevinçlerini yeniden yaşıyorlar](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/3/8cf8abef22fe4471be400a818912cb85)
Yorum (0)