يكشف تقرير حديث أن العديد من مستخدمي Apple قد تعرضوا لخطر الاختراق لأكثر من عقد من الزمن بسبب ثغرة أمنية غير مكتشفة وتم تصحيحها مؤخرًا في CocoaPods – مدير التبعية الذي يستضيف مكتبات التعليمات البرمجية لمشاريع Swift وObjective-C لتطوير تطبيقات لـ . تفاحة.

وفقًا لأحد التقارير، اكتشف الباحثون الأمنيون مشكلة حرجة سمحت للجهات الفاعلة في مجال التهديد بإدخال تعليمات برمجية ضارة والوصول إلى بيانات المستخدم الحساسة، مما يعرض أكثر من 3 ملايين تطبيق iOS وmacOS للخطر.

وفقًا للباحثين في شركة الأمن السيبراني EVA Information Security، تم العثور على ثلاث ثغرات أمنية لم يتم اكتشافها سابقًا في CocoaPods، مما يسمح للجهات الفاعلة في مجال التهديد بالمطالبة بملكية الحزم المعزولة، المعروفة باسم pods، ويُزعم أنها تحقن التعليمات البرمجية في تطبيقات منصات iOS وmacOS – أنظمة التشغيل التي يتم استخدامها بواسطة أجهزة iPhone وiPad من Apple على التوالي.

ويقال إن هذه الثغرة الأمنية نشأت في خادم CocoaPods 'trunk' في عام 2014، بعد عملية الترحيل، ووفقًا للباحثين، كان من الممكن أن تكون الجهات الفاعلة في التهديد قد استخدمت واجهة برمجة التطبيقات (API) وعنوان البريد الإلكتروني – وكلاهما متاح. في الكود المصدري لـ CocoaPods، للمطالبة بملكية البودات، واستبدال كود المصدر الأصلي بشفرة ضارة.

يدعي الباحثون أن ثغرة أمنية أخرى كان من الممكن أن تسمح باستخدام عملية التحقق من البريد الإلكتروني لتنفيذ تعليمات برمجية عشوائية على الخادم، مما يسمح لممثل التهديد بالتلاعب واستبدال البودات مثل كلمات المرور وبيانات البطاقة في خطر.

وقال المتحدث: “إن إدخال التعليمات البرمجية في هذه التطبيقات يمكن أن يسمح للمهاجمين بالوصول إلى هذه المعلومات لأي غرض ضار يمكن تصوره تقريبًا – برامج الفدية والاحتيال والابتزاز والتجسس على الشركات… وفي هذه العملية يمكن أن يعرض الشركات لمسؤوليات قانونية كبيرة ومخاطر ذات صلة”. . قال الباحثون.

ويُزعم أيضًا أنه تم تصحيح الثغرات الأمنية في أكتوبر 2023، ويقول الباحثون إنهم أبلغوا عنها إلى CocoaPods، وبعد ذلك تم مسح جميع مفاتيح الجلسة لضمان الوصول الآمن إلى البودات.

هذه ليست المرة الأولى التي تخضع فيها CocoaPods للتدقيق بحثًا عن نقاط الضعف. في عام 2021، تم اكتشاف أن الحزمة الضارة المنتشرة على مدير التبعية يمكن أن تسمح للجهات الفاعلة في مجال التهديد بتنفيذ تعليمات برمجية عشوائية على خوادمهم بسبب تنفيذ التعليمات البرمجية عن بعد (RCE). وقد يؤدي ذلك إلى تعريض ملايين التطبيقات للخطر.