كشف تقرير نشرته ArsTechnica، استناداً إلى أبحاث أجرتها شركة EVA Information Security، عن تعرض الملايين من تطبيقات iOS وmacOS لاختراق أمني يمكن استخدامه في هجمات سلاسل التوريد. تم العثور على هذا الاستغلال في CocoaPods، وهو مستودع مفتوح المصدر يستخدمه العديد من التطبيقات الشهيرة المطورة لمنصات أبل.
الثغرة الأمنية في CocoaPods تؤثر على تطبيقات iOS وmacOS
وفقاً للتقرير، حوالي 3 ملايين تطبيق على منصتي iOS وmacOS التي تم بناؤها باستخدام CocoaPods كانت عرضة للخطر لمدة حوالي 10 سنوات. لمن ليسوا على دراية بـCocoaPods، فهي تتيح للمطورين دمج التعليمات البرمجية الخاصة بأطراف ثالثة في تطبيقاتهم من خلال مكتبات مفتوحة المصدر. عند تحديث المكتبة، تحصل التطبيقات التي تستخدمها تلقائياً على التحديثات الأخيرة.
كشفت EVA Information Security أن هذا الاستغلال يمكن أن يسمح للمهاجمين بالوصول إلى بيانات حساسة مثل تفاصيل بطاقات الائتمان والسجلات الطبية والمعلومات الخاصة. يمكن استخدام البيانات لأغراض خبيثة متعددة، بما في ذلك الفدية، الاحتيال، الابتزاز، والتجسس التجاري.
تفاصيل الثغرة الأمنية والإجراءات المتخذة
تتعلق الثغرات الأمنية بآلية تحقق البريد الإلكتروني غير الآمنة التي تُستخدم للمصادقة على مطوري المكتبات الفردية (Pods). على سبيل المثال، يمكن للمهاجم التلاعب بعنوان URL في رابط التحقق للإشارة إلى خادم ضار. اتخذ فريق CocoaPods بالفعل خطوات لضمان إصلاح هذه الثغرات.
بعد إخطار الباحثين في EVA لمطوري CocoaPods بالثغرة، تم مسح جميع مفاتيح الجلسات لضمان عدم تمكن أي شخص من الوصول إلى الحسابات دون السيطرة أولاً على عنوان البريد الإلكتروني المسجل.
كما أضافت جهات الحفاظ على CocoaPods إجراءً جديداً لاستعادة المكتبات القديمة المهجورة، يتطلب الاتصال بالجهات المسؤولة مباشرة. يجب على المؤلف الاتصال بالشركة لتولي إحدى هذه التبعيات في هذه المرحلة.
توصيات للمطورين
هذه ليست المرة الأولى التي تستهدف فيها CocoaPods من قبل المهاجمين. في عام 2021، أكد مشرفو المشروع وجود مشكلة أمنية سمحت للمهاجمين بتشغيل تعليمات برمجية عشوائية على الخوادم التي تديرها. يمكن استخدام ذلك لاستبدال الحزم الحالية بنسخ ضارة من التعليمات البرمجية التي يمكن أن تنتهي بشحنها في تطبيقات iOS وMac.
ينصح الباحثون في EVA المطورين الذين يستخدمون CocoaPods في تطبيقاتهم بمراجعة تبعيات CocoaPods وتشغيل فحوصات أمنية لاكتشاف التعليمات البرمجية الضارة في جميع المكتبات الخارجية.
ابدأ المناقشة في forum.mjbtechtips.com