iOSأخبارأمن وحماية

ثغرة أمنية في مكتبة CocoaPods تعرض ملايين تطبيقات iOS وmacOS للخطر

صورة جابر بوذيبة جابر بوذيبة تابع على X أرسل بريدا إلكترونيا 3 يوليو، 2024آخر تحديث: 3 يوليو، 2024
0 24 2 دقائق

كشف تقرير نشرته ArsTechnica، استناداً إلى أبحاث أجرتها شركة EVA Information Security، عن تعرض الملايين من تطبيقات iOS وmacOS لاختراق أمني يمكن استخدامه في هجمات سلاسل التوريد. تم العثور على هذا الاستغلال في CocoaPods، وهو مستودع مفتوح المصدر يستخدمه العديد من التطبيقات الشهيرة المطورة لمنصات أبل.

الثغرة الأمنية في CocoaPods تؤثر على تطبيقات iOS وmacOS

وفقاً للتقرير، حوالي 3 ملايين تطبيق على منصتي iOS وmacOS التي تم بناؤها باستخدام CocoaPods كانت عرضة للخطر لمدة حوالي 10 سنوات. لمن ليسوا على دراية بـCocoaPods، فهي تتيح للمطورين دمج التعليمات البرمجية الخاصة بأطراف ثالثة في تطبيقاتهم من خلال مكتبات مفتوحة المصدر. عند تحديث المكتبة، تحصل التطبيقات التي تستخدمها تلقائياً على التحديثات الأخيرة.

كشفت EVA Information Security أن هذا الاستغلال يمكن أن يسمح للمهاجمين بالوصول إلى بيانات حساسة مثل تفاصيل بطاقات الائتمان والسجلات الطبية والمعلومات الخاصة. يمكن استخدام البيانات لأغراض خبيثة متعددة، بما في ذلك الفدية، الاحتيال، الابتزاز، والتجسس التجاري.

تفاصيل الثغرة الأمنية والإجراءات المتخذة

تتعلق الثغرات الأمنية بآلية تحقق البريد الإلكتروني غير الآمنة التي تُستخدم للمصادقة على مطوري المكتبات الفردية (Pods). على سبيل المثال، يمكن للمهاجم التلاعب بعنوان URL في رابط التحقق للإشارة إلى خادم ضار. اتخذ فريق CocoaPods بالفعل خطوات لضمان إصلاح هذه الثغرات.

بعد إخطار الباحثين في EVA لمطوري CocoaPods بالثغرة، تم مسح جميع مفاتيح الجلسات لضمان عدم تمكن أي شخص من الوصول إلى الحسابات دون السيطرة أولاً على عنوان البريد الإلكتروني المسجل.

كما أضافت جهات الحفاظ على CocoaPods إجراءً جديداً لاستعادة المكتبات القديمة المهجورة، يتطلب الاتصال بالجهات المسؤولة مباشرة. يجب على المؤلف الاتصال بالشركة لتولي إحدى هذه التبعيات في هذه المرحلة.

توصيات للمطورين

هذه ليست المرة الأولى التي تستهدف فيها CocoaPods من قبل المهاجمين. في عام 2021، أكد مشرفو المشروع وجود مشكلة أمنية سمحت للمهاجمين بتشغيل تعليمات برمجية عشوائية على الخوادم التي تديرها. يمكن استخدام ذلك لاستبدال الحزم الحالية بنسخ ضارة من التعليمات البرمجية التي يمكن أن تنتهي بشحنها في تطبيقات iOS وMac.

ينصح الباحثون في EVA المطورين الذين يستخدمون CocoaPods في تطبيقاتهم بمراجعة تبعيات CocoaPods وتشغيل فحوصات أمنية لاكتشاف التعليمات البرمجية الضارة في جميع المكتبات الخارجية.

مقالات ذات صلة:

الوسوم
صورة جابر بوذيبة جابر بوذيبة تابع على X أرسل بريدا إلكترونيا 3 يوليو، 2024آخر تحديث: 3 يوليو، 2024
0 24 2 دقائق
اظهر المزيد
صورة جابر بوذيبة

جابر بوذيبة

تقني سامي في إدارة وأمن الشبكات المعلوماتية ، مطور ويب ومؤسس موقع MJB Tech Tips ، مهتم بمواضيع اﻷمن المعلوماتي وأنظمة لينكس.

مقالات ذات صلة

آبل تصدر تحديثات أمنية عاجلة لإصلاح أول ثغرة يوم الصفر لعام 2025

منذ 14 ساعة
واتساب

واتساب يختبر دعم الحسابات المتعددة على الآيفون: ميزة منتظرة قريبًا

منذ يومين

iPhone SE 4: تصميم جديد بمنفذ USB-C وكاميرا 48 ميجابكسل بسعر اقتصادي

منذ يومين

كيف غيّرت رقائق Apple M-Series معايير صناعة المعالجات وأجبرت Qualcomm وMediaTek على الابتكار

منذ يومين
اترك رد

ابدأ المناقشة في forum.mjbtechtips.com

إدارة الإخطارات

notification icon
اشترك للحصول على آخر أخبار وجديد عالم التقنية من تطبيقات إلى أحدث اﻷجهزة من مختلف الشركات الكبرى.
notification icon
أنت مشترك في الإخطارات
notification icon
اشترك للحصول على آخر أخبار وجديد عالم التقنية من تطبيقات إلى أحدث اﻷجهزة من مختلف الشركات الكبرى.
notification icon
أنت مشترك في الإخطارات
إغلاق

يُرجى السماح بعرض الإعلانات على موقعنا الإلكتروني.

يبدو أنك تستخدم أداة لحظر الإعلانات. نحن نعتمد على الإعلانات كمصدر تمويل لموقعنا الإلكتروني.