Bug Open Source Baru Membuat Ribuan Aplikasi iOS Rentan terhadap Pembajakan

Serangkaian kerentanan yang baru ditemukan pada perangkat lunak sumber terbuka yang banyak digunakan dapat menimbulkan masalah besar bagi sebagian besar ekosistem iOS dan MacOS. Bug yang dimaksud dapat berdampak pada ribuan aplikasi yang banyak digunakan, termasuk program populer seperti TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger, dan banyak lainnya, menurut penelitian keamanan terkait . Meskipun komponen open sourcenya sendiri telah ditambal, tim DevOps untuk aplikasi yang terkena dampak pasti berusaha keras untuk memastikan bahwa sistem mereka diperbarui dengan benar untuk melindungi pengguna dari potensi eksploitasi.

Kerentanan ditemukan di Cocoapods , manajer ketergantungan yang banyak digunakan untuk proyek perangkat lunak yang dikodekan dalam bahasa pemrograman Swift dan Objective-C. Manajer ketergantungan adalah alat penting dalam proses pengembangan perangkat lunak, yang memungkinkan validasi dan penandatanganan kriptografis paket perangkat lunak. Korupsi alat tersebut jelas mempunyai implikasi besar (dan buruk) pada sebagian besar web.

Bug Cocoapods ditemukan oleh para peneliti di EVA Information Security, sebuah perusahaan keamanan siber dan pentesting. Bug ini adalah hasil dari migrasi server Cocoapods yang tidak sempurna yang terjadi pada tahun 2014, yang menyebabkan ribuan paket perangkat lunak “yatim piatu”. Karena kelemahan keamanan dalam sistem, paket-paket tersebut dapat dengan mudah diambil alih oleh pihak yang tidak bertanggung jawab dan (secara hipotetis) digunakan untuk melakukan serangan rantai pasokan yang dapat menyebabkan pembaruan kode berbahaya pada proyek perangkat lunak perusahaan yang mengandalkan paket tersebut. Para peneliti membagi situasinya seperti ini:

Proses migrasi pada tahun 2014 meninggalkan ribuan paket yatim piatu (yang pemilik aslinya tidak diketahui), banyak di antaranya masih banyak digunakan di perpustakaan lain. Dengan menggunakan API publik dan alamat email yang tersedia di kode sumber CocoaPods, penyerang dapat mengklaim kepemilikan atas salah satu paket ini, yang kemudian memungkinkan penyerang mengganti kode sumber asli dengan kode berbahaya mereka sendiri...Kerentanan yang kami temukan dapat digunakan untuk mengontrol manajer ketergantungan itu sendiri, dan paket apa pun yang diterbitkan. Ketergantungan pada hilir dapat menyebabkan ribuan aplikasi dan jutaan perangkat terpapar selama beberapa tahun terakhir.

Ketiga bug tersebut telah ditambal, namun tingkat keparahannya, dan fakta bahwa bug tersebut dibiarkan terekspos selama sembilan tahun, tentunya membuat banyak tim perangkat lunak tidak dapat bekerja. Alasan mengapa Apple berada di garis depan dan pusat dari kekacauan ini adalah karena banyak aplikasi iOS dan MacOS dikodekan menggunakan bahasa Swift dan Objective-C , menjadikannya sangat rentan terhadap masalah yang sedang terjadi. Para peneliti menulis bahwa bug tersebut dapat berdampak pada “ribuan” atau “jutaan” aplikasi, dan bahwa “serangan terhadap ekosistem aplikasi seluler dapat menginfeksi hampir semua perangkat Apple, menyebabkan ribuan organisasi rentan terhadap kerusakan finansial dan reputasi yang sangat besar.”

Para peneliti mengatakan mereka belum melihat bukti apa pun yang menunjukkan bahwa aplikasi benar-benar telah disusupi. Namun, jika ada, hal ini jelas dapat menimbulkan masalah besar bagi pengguna. Para peneliti mencatat bahwa karena banyak aplikasi dapat “mengakses informasi paling sensitif milik pengguna: detail kartu kredit, catatan medis, materi pribadi,” penjahat dunia maya dapat memasukkan kode ke dalam aplikasi melalui pod yang telah disusupi, sehingga memungkinkan mereka “mengakses informasi ini untuk hampir semua tindakan berbahaya. tujuan yang bisa dibayangkan - ransomware, penipuan, pemerasan, spionase perusahaan.”

Para peneliti telah mendesak pengembang perusahaan untuk meninjau produk mereka dan “memverifikasi integritas dependensi sumber terbuka yang digunakan dalam kode aplikasi mereka,” sehingga memastikan bahwa sistem dan pelanggan mereka tidak terekspos.

Kelemahan keamanan yang dapat timbul pada perangkat lunak sumber terbuka sudah banyak diketahui. Industri perangkat lunak komersial bergantung pada FOSS untuk membangun produk komersialnya, namun hanya sedikit waktu yang dihabiskan untuk menopang dan mengamankan ekosistem perangkat lunak bebas yang menjadi dasar seluruh internet. Hasil akhirnya, bisa ditebak, tidak bagus.

Gizmodo menghubungi Apple untuk memberikan komentar dan akan memperbarui cerita ini jika merespons.