Tre milionë aplikacione iOS, macOS të cenueshme për 10+ vjet
Dobësitë e sulmeve të zinxhirit të furnizimit, të pazbuluara për më shumë se një dekadë, kanë lënë të ekspozuar mijëra aplikacione iOS dhe macOS, sipas studiuesve të EVA Information Security.
Të metat u gjetën në një server “trunk” që menaxhon CocoaPods, një depo me burim të hapur për projektet Swift dhe Objective-C ku mbështeten rreth tre milionë aplikacione macOS dhe iOS.
Studiuesit paralajmërojnë se kjo potencialisht mund t’u lejojë sulmuesve qasje në informacione të ndjeshme të përdoruesit, të tilla si detajet e kartës së kreditit dhe të dhënat mjekësore përmes injektimit të kodit në këto aplikacione.
Dobësitë kanë origjinën nga një mekanizëm i pasigurt verifikimi i postës elektronike i përdorur për të vërtetuar zhvilluesit e pods individuale.
Sulmuesit mund të manipulojnë URL-në në lidhjen e dërguar nga serveri trunk, për të treguar një server nën kontrollin e tyre.
Një dobësi tjetër i lejoi sulmuesit të kontrollonin podet e braktisura nga zhvilluesit e tyre, por ende në përdorim nga aplikacionet.
Një dobësi e tretë i lejoi sulmuesit të ekzekutonin kodin në serverin e trungut, si rezultat i një migrimi të papërsosur të serverit Cocoapods në vitin 2014.
Pavarësisht arnimeve, ashpërsia e këtyre gabimeve dhe periudha e gjatë e ekspozimit të tyre janë një shkak shqetësimi midis ekipeve të softuerit, sipas studiuesve të EVA.
Ata deklaruan se një “sulm ndaj ekosistemit të aplikacioneve celulare mund të infektojë pothuajse çdo pajisje Apple, duke lënë mijëra organizata të prekshme ndaj dëmtimit katastrofik financiar dhe reputacionit”.
Pavarësisht rreziqeve të mundshme, nuk ka ende asnjë provë që ndonjë aplikacion është komprometuar.
Megjithatë, studiuesit EVA kanë kërkuar nga zhvilluesit e korporatave të rishikojnë produktet e tyre.
Ata theksuan nevojën për të “verifikuar integritetin e varësive me burim të hapur të përdorura në kodin e tyre të aplikimit”, si një hap i rëndësishëm drejt sigurimit që sistemet dhe klientët e tyre të mos lihen të ekspozuar.
Kjo thirrje për veprim ka për qëllim parandalimin e dëmtimit katastrofik financiar dhe reputacionit që mund të rezultojë nga dobësi të tilla.