Milyonlarca iOS ve macOS uygulaması, EVA Information Security tarafından keşfedilen ve potansiyel tedarik zinciri akınları için kullanılabilecek bir güvenlik açığı nedeniyle tehlikede. Güvenlik açığı, birçok tanınan uygulamanın geliştirildiği açık kaynak deposu CocoaPods’da bulundu.

CocoaPods’ta bulunan güvenlik açığı, yaklaşık 3 milyon iOS ve macOS uygulamasını etkiledi

CocoaPods, geliştiricilerin üçüncü taraf kodlarını uygulamalarına entegre etmelerini kolaylaştıran bir açık kaynak kütüphanesi. Bir kütüphane güncellendiğinde, bu kütüphaneyi kullanan uygulamalar otomatik olarak en son güncellemeleri alıyor.

EVA Information Security, bu açığın saldırganların kredi kartı bilgileri, tıbbi kayıtlar ve hatta özel gereçler üzere hassas uygulama bilgilerine erişmesine neden olabileceğini ortaya çıkardı. Bu bilgiler, fidye yazılımı, dolandırıcılık, şantaj ve kurumsal casusluk üzere birçok makûs niyetli hedef için kullanılabilir. E bu da önemli bir sorun.

Güvenlik açığı ve alınan önlemler

Keşfedilen iOS güvenlik açığı, kişisel kütüphane geliştiricilerini doğrulamak için kullanılan inançsız bir e-posta doğrulama düzeneği ile ilgiliydi. Örneğin bir saldırgan, doğrulama temasındaki URL’yi berbat niyetli bir sunucuya yönlendirebilir. CocoaPods takımı, bu açıkların düzeltilmesi için adımlar attı.

EVA araştırmacıları, güvenlik açığını CocoaPods geliştiricilerine özel olarak bildirdikten sonra tüm oturum anahtarlarını temizleyerek, kimsenin kayıtlı e-posta adresine sahip olmadan hesaplara erişememesini sağladı.

CocoaPods yöneticileri ayrıyeten eski kütüphaneleri geri kazanmak için yeni bir prosedür ekledi. Bir muharririn, bu kütüphanelerden birini devralmak için şirketle bağlantıya geçmesi gerekiyor.

Bu olay birinci değil, 2021 yılında projenin yöneticileri, CocoaPods depolarının yöneten sunucularda rastgele kod çalıştırmasına müsaade veren bir güvenlik sıkıntısını doğrulamıştı. Bu güvenlik açığı da mevcut paketlerin berbat niyetli sürümlerle değiştirilmesi ve bu kodun iOS ve Mac uygulamalarına girmesi için kullanılabilirdi.

EVA araştırmacıları, uygulamalarında CocoaPods kullanan geliştiricilere, CocoaPods kütüphanelerini her vakit gözden geçirmelerini ve tüm dış kütüphanelerde makûs niyetli kod tespit etmek için güvenlik taramaları yapmalarını tavsiye ediyor.

Milyonlarca iOS ve macOS uygulamasının etkilenebileceği bu güvenlik açığı, kullanıcı bilgilerinin korunmasının ehemmiyetini bir sefer daha gözler önüne seriyor. Siz ne düşünüyorsunuz? Niyetlerinizi yorumlarda bizlerle paylaşın.

Shiftdelete

Kaynak : https://shiftdelete.net/ios-guvenlik-acigi-milyonlarca-uygulama-tehlikede