Ένα βασικό εργαλείο που χρησιμοποιείται κυρίως στην ανάπτυξη εφαρμογών iOS και
macOS
ήταν ευάλωτο με τρόπο που άνοιξε εκατομμύρια εφαρμογές Mac σε επιθέσεις στην αλυσίδα εφοδιασμού, προειδοποίησαν οι ειδικοί.
Οι ερευνητές κυβερνο
ασφάλεια
ς EVA Information
Security
ισχυρίζονται ότι ένας διαχειριστής εξάρτησης για έργα Swift και Objective-C που ονομάζεται CocoaPods, έφερε τρία τρωτά σημεία σε έναν διακομιστή «κορμού» που χρησιμοποιείται για τη διαχείριση των CocoaPods.
Ένα από τα τρωτά σημεία βρίσκεται στον μηχανισμό
επα
λήθευσης email που χρησιμοποιεί η πλατφόρμα για τον έλεγχο ταυτότητας προγραμματιστών pod. Για να αποκτήσει πρόσβαση σε έναν λογαριασμό, ο προγραμματιστής θα εισαγάγει τη διεύθυνση email που σχετίζεται με το pod και, στη συνέχεια, θα λαμβάνει έναν σύνδεσμο που αποστέλλεται στο email του. Ωστόσο, η διεύθυνση URL στον σύνδεσμο θα μπορούσε να τροποποιηθεί για να ανακατευθύνει τον προγραμματιστή σε έναν διακομιστή που βρίσκεται υπό τον έλεγχο των εισβολέων.
Εκατομμύρια άνθρωποι σε κίνδυνο
Η δεύτερη ευπάθεια επέτρεψε στους παράγοντες απειλών να αναλάβουν ομάδες που είχαν εγκαταλειφθεί από προγραμματιστές – αλλά εξακολουθούν να χρησιμοποιούνται σε εφαρμογές. Η τρίτη ευπάθεια παρέχει στους εισβολείς τη δυνατότητα να εκτελούν κώδικα στον κεντρικό διακομιστή.
Δεδομένου ότι περίπου 3 εκατομμύρια εφαρμογές για
κινητά
χρησιμοποιούν περίπου 100.000 βιβλιοθήκες που βρίσκονται στην πλατφόρμα, η επιφάνεια επίθεσης είναι αρκετά μεγάλη. Για να γίνουν τα πράγματα χειρότερα, μόλις αλλάξει η βιβλιοθήκη, οι εφαρμογές που τη χρησιμοποιούν θα την ενημερώνουν αυτόματα, χωρίς αλληλεπίδραση από τον τελικό χρήστη.
«Πολλές εφαρμογές μπορούν να έχουν πρόσβαση στις πιο ευαίσθητες πληροφορίες ενός χρήστη: στοιχεία πιστωτικής κάρτας, ιατρικά αρχεία, ιδιωτικό υλικό και πολλά άλλα», ανέφεραν οι ερευνητές στην έγγραφή τους. «Η έγχυση κώδικα σε αυτές τις εφαρμογές θα μπορούσε να επιτρέψει στους εισβολείς να έχουν πρόσβαση σε αυτές τις πληροφορίες για σχεδόν οποιονδήποτε κακόβουλο σκοπό μπορεί κανείς να φανταστεί – ransomware, απάτη, εκβιασμό, εταιρική κατασκοπεία… Στη διαδικασία, θα μπορούσε να εκθέσει τις εταιρείες σε σημαντικές νομικές ευθύνες και κίνδυνο φήμης».
Τα τρωτά σημεία αποκαλύφθηκαν και επιδιορθώθηκαν τον Οκτώβριο του 2023 – και εκείνη την εποχή, δεν υπήρχαν στοιχεία για κακοποίηση στη φύση. Σήμερα, οι προγραμματιστές εφαρμογών και οι χρήστες δεν υποχρεούνται να κάνουν τίποτα για να ασφαλίσουν τις εγκαταστάσεις τους.
VIA:
TechRadar.com/
0