Μια σειρά από τρ
ω
τά σημεία που ανακαλύφθηκαν πρόσφατα σε ένα ευρέως χρησιμοποιούμενο βοηθητικό πρόγραμμα λογισμικού ανοιχτού κώδικα θα μπορούσε να προκαλέσει μεγάλο πρόβλημα για μεγάλα τμήματα των οικοσυστημάτων
iOS
και MacOS. Τα εν λόγω σφάλματα θα μπορούσαν να επηρεάσουν χιλιάδες ευρέως χρησιμοποιούμενες εφαρμογές, συμπεριλαμβανομένων δημοφιλών προγραμμάτων όπως το TikTok, το Snapchat, το LinkedIn, το Netflix, το
Microsoft Teams
, το Facebook Messenger και πολλά άλλα, σύμφωνα με
σχετική έρευνα ασφάλειας
. Ενώ τα ίδια τα στοιχεία ανοιχτού κώδικα έχουν επιδιορθωθεί, οι ομάδες DevOps για επηρεαζόμενες εφαρμογές σίγουρα προσπαθούν να διασφαλίσουν ότι τα συστήματά τους είναι κατάλληλα ενημερωμένα για να προστατεύουν τους χρήστες από πιθανή εκμετάλλευση.
Τα τρωτά σημεία ανακαλύφθηκαν σε
Cocoapods
, ένας διαχειριστής εξαρτήσεων που χρησιμοποιείται ευρέως για έργα λογισμικού κωδικοποιημένα στις γλώσσες προγραμματισμού Swift και Objective-C. Οι διαχειριστές εξάρτησης είναι ζωτικής σημασίας εργαλεία στη διαδικασία ανάπτυξης λογισμικού, που επιτρέπουν την επικύρωση και την κρυπτογραφική υπογραφή πακέτων λογισμικού. Η διαφθορά ενός τέτοιου
εργαλείο
υ έχει προφανώς μεγάλες (και κακές) συνέπειες για μεγάλα τμήματα του ιστού.
Τα ζωύφια Cocoapods
ανακαλύφθηκαν
από ερευνητές της EVA Information Security, μια εταιρεία κυβερνοασφάλειας και διεκδίκησης. Τα σφάλματα είναι το αποτέλεσμα μιας ατελούς μετεγκατάστασης διακομιστή Cocoapods που έλαβε χώρα το 2014, παρόμοια με την οποία «ορφάνισαν» χιλιάδες πακέτα λογισμικού. Λόγω των ελλείψεων ασφαλείας στο σύστημα, αυτά τα πακέτα θα μπορούσαν εύκολα να ελέγχονται από έναν κακό παράγοντα και (υποθετικά) να έχουν χρησιμοποιηθεί για τη διάπραξη επιθέσεων στην αλυσίδα εφοδιασμού που θα μπορούσαν να εισάγουν κακόβουλες ενημερώσεις κώδικα στα εταιρικά έργα λογισμικού που βασίζονται σε αυτά. Οι ερευνητές αναλύουν την κατάσταση ως εξής:
Μια διαδικασία μετανάστευσης το 2014 άφησε χιλιάδες ορφανά πακέτα (όπου ο αρχικός ιδιοκτήτης είναι άγνωστος), πολλά από τα οποία εξακολουθούν να χρησιμοποιούνται ευρέως σε άλλες βιβλιοθήκες. Χρησιμοποιώντας ένα δημόσιο API και μια διεύθυνση email που ήταν διαθέσιμη στον πηγαίο κώδικα του CocoaPods, ένας εισβολέας θα μπορούσε να διεκδικήσει την ιδιοκτησία οποιουδήποτε από αυτά τα πακέτα, κάτι που θα επέτρεπε στον εισβολέα να αντικαταστήσει τον αρχικό πηγαίο κώδικα με τον δικό του κακόβουλο κώδικα…Τα τρωτά σημεία ανακαλύψαμε ότι θα μπορούσε να χρησιμοποιηθεί για τον έλεγχο του ίδιου του διαχειριστή εξαρτήσεων και οποιουδήποτε δημοσιευμένου πακέτου. Οι μεταγενέστερες εξαρτήσεις θα μπορούσαν να σημαίνουν ότι χιλιάδες εφαρμογές και εκατομμύρια συσκευές εκτέθηκαν τα τελευταία χρόνια.
Και τα τρία σφάλματα έχουν επιδιορθωθεί έκτοτε, αλλά η σοβαρότητά τους και το γεγονός ότι έμειναν εκτεθειμένα για έως και εννέα χρόνια, σίγουρα κρατά πολλές ομάδες λογισμικού σε λειτουργία τη νύχτα. Ο λόγος για τον οποίο η
Apple
βρίσκεται στο μπροστινό μέρος και στο κέντρο αυτού του χάους είναι ότι πολλές εφαρμογές iOS και MacOS κωδικοποιούνται χρησιμοποιώντας και τα δύο
Ταχύς
και
Στόχος-Γ
γλωσσών, καθιστώντας τις ιδιαίτερα ευάλωτες στα επίμαχα ζητήματα. Οι ερευνητές γράφουν ότι τα σφάλματα θα μπορούσαν να επηρεάσουν είτε «χιλιάδες» ή «εκατομμύρια» εφαρμογές και ότι μια «επίθεση στο οικοσύστημα εφαρμογών για κινητά θα μπορούσε να μολύνει σχεδόν κάθε συσκευή της Apple, αφήνοντας χιλιάδες οργανισμούς ευάλωτους σε καταστροφικές οικονομικές ζημιές και φήμη».
Οι ερευνητές λένε ότι δεν έχουν δει ακόμη στοιχεία που να υποδηλώνουν ότι οι εφαρμογές έχουν όντως παραβιαστεί. Ωστόσο, εάν κάποιοι ήταν, θα μπορούσε προφανώς να δημιουργήσει μεγάλο πρόβλημα για τους χρήστες. Οι ερευνητές σημειώνουν ότι επειδή πολλές εφαρμογές μπορούν «να έχουν πρόσβαση στις πιο ευαίσθητες πληροφορίες ενός χρήστη: στοιχεία πιστωτικής κάρτας, ιατρικά αρχεία, ιδιωτικό υλικό», ένας κυβερνοεγκληματίας θα μπορούσε να εισάγει κώδικα στις εφαρμογές μέσω των παραβιασμένων pods, επιτρέποντάς τους «να έχουν πρόσβαση σε αυτές τις πληροφορίες για σχεδόν κάθε κακόβουλο σκοπός που μπορεί κανείς να φανταστεί – ransomware, απάτη, εκβιασμός, εταιρική κατασκοπεία.”
Οι ερευνητές προέτρεψαν τους εταιρικούς προγραμματιστές να επανεξετάσουν τα προϊόντα τους και να «επαληθεύσουν την ακεραιότητα των εξαρτήσεων ανοιχτού κώδικα που χρησιμοποιούνται στον κώδικα εφαρμογής τους», διασφαλίζοντας έτσι ότι τα συστήματά τους και οι πελάτες τους δεν εκτίθενται.
ο
ελλείψεις ασφαλείας που μπορεί να προκύψουν σε λογισμικό ανοιχτού κώδικα
είναι γνωστά. Η εμπορική βιομηχανία λογισμικού βασίζεται στο FOSS για την κατασκευή των εμπορικών προϊόντων της, αλλά ελάχιστος χρόνος δαπανάται για τη στήριξη και τη διασφάλιση του οικοσυστήματος ελεύθερου λογισμικού από το οποίο είναι χτισμένο ολόκληρο το Διαδίκτυο. Τα τελικά αποτελέσματα, όπως ήταν αναμενόμενο, δεν είναι καλά.
Το Gizmodo επικοινώνησε με την Apple για σχόλια και θα ενημερώσει αυτήν την ιστορία εάν απαντήσει.
VIA:
gizmodo.com
0