新たなオープンソースのバグにより、何千もの iOS アプリがハイジャックの危険にさらされる

Jul 03 2024
Cocoapods の脆弱性は、TikTok、Snapchat、LinkedIn、Netflix、Microsoft Teams、Facebook Messenger など、多くのサービスに脅威を与える可能性があります。

広く使用されているオープンソースソフトウェアユーティリティで新たに発見された一連の脆弱性は、iOSおよびMacOSエコシステムの大部分に大きな問題を引き起こす可能性があります。関連するセキュリティ調査によると、問題のバグは、TikTok、Snapchat、LinkedIn、Netflix、Microsoft Teams、Facebook Messengerなどの人気プログラムを含む、広く使用されている何千ものアプリに影響を与える可能性があります。オープンソースコンポーネント自体は修正されていますが、影響を受けるアプリのDevOpsチームは、ユーザーを潜在的な悪用から保護するために、システムが適切に更新されるように急いでいるはずです。

推奨読書

ティアナのバイユー・アドベンチャーが87年にわたる奇妙なディズニープリンセスの正典を破る
竜巻監督は竜巻に関する警報を知らされていなかった
デッドプールとウルヴァリンがついにマーベルのX-MEN映画のロックを解除

推奨読書

ティアナのバイユー・アドベンチャーが87年にわたる奇妙なディズニープリンセスの正典を破る
竜巻監督は竜巻に関する警報を知らされていなかった
デッドプールとウルヴァリンがついにマーベルのX-MEN映画のロックを解除
新しいビーツピルがついに登場
共有
この動画を共有します
Facebook Twitterメール
Redditリンク
新しいビーツピルがついに登場

この脆弱性は、Swift および Objective-C プログラミング言語でコーディングされたソフトウェア プロジェクトで広く使用されている依存関係マネージャーであるCocoapodsで発見されました。依存関係マネージャーは、ソフトウェア開発プロセスに不可欠なツールであり、ソフトウェア パッケージの検証と暗号署名を可能にします。このようなツールの破損は、明らかに Web の大部分に大きな (そして悪い) 影響を及ぼします。

関連性のあるコンテンツ

ウェブエクスプロイト検索エンジン「PunkSpider」が復活
ハッカーがMicrosoft Exchangeに群がる

関連性のあるコンテンツ

ウェブエクスプロイト検索エンジン「PunkSpider」が復活
ハッカーがMicrosoft Exchangeに群がる

Cocoapods のバグは、サイバーセキュリティおよびペネトレーションテスト会社である EVA Information Security の研究者によって発見されました。このバグは、2014 年に行われた Cocoapods サーバーの不完全な移行の結果であり、数千のソフトウェア パッケージが「孤立」しました。システムのセキュリティ上の欠陥により、これらのパッケージは悪意のある人物によって簡単に乗っ取られ、(仮定の話ですが) サプライ チェーン攻撃に使用され、それらに依存する企業のソフトウェア プロジェクトに悪意のあるコード更新が導入される可能性があります。研究者は状況を次のように分析しています。

2014 年の移行プロセスにより、何千もの孤立したパッケージ (元の所有者が不明) が残されましたが、その多くは今でも他のライブラリで広く使用されています。攻撃者は、CocoaPods ソース コードで利用可能なパブリック API と電子メール アドレスを使用して、これらのパッケージのいずれかの所有権を主張し、元のソース コードを独自の悪意のあるコードに置き換えることができます...私たちが発見した脆弱性は、依存関係マネージャー自体と公開されたパッケージを制御するために使用できます。下流の依存関係は、過去数年間で何千ものアプリケーションと何百万ものデバイスが危険にさらされたことを意味する可能性があります。

3 つのバグはすべてその後修正されましたが、その深刻さと、9 年もの間無防備なまま放置されていたという事実は、多くのソフトウェア チームを夜も眠れない状態にさせているに違いありません。Apple がこの混乱の最前線に立っている理由は、多くの iOS および MacOS アプリがSwiftObjective-C の両方の言語を使用してコーディングされており、特にこれらの問題の影響を受けやすいためです。研究者は、これらのバグは「数千」または「数百万」のアプリに影響を与える可能性があり、「モバイル アプリ エコシステムへの攻撃はほぼすべての Apple デバイスに感染し、数千の組織が壊滅的な経済的損害と評判の損失にさらされる可能性がある」と述べています。

研究者らは、アプリが実際に侵害されたことを示す証拠はまだ見つかっていないと述べている。しかし、もし侵害されていたとしたら、明らかにユーザーにとって大きな問題となる可能性がある。多くのアプリが「ユーザーの最も機密性の高い情報、つまりクレジットカード情報、医療記録、プライベートな資料にアクセスできる」ため、サイバー犯罪者は侵害されたポッドを介してアプリにコードを挿入し、「ランサムウェア、詐欺、脅迫、企業スパイなど、考えられるほぼあらゆる悪意ある目的でこの情報にアクセス」できる可能性があると研究者らは指摘している。

研究者らは、企業の開発者に対し、自社製品を見直し、「アプリケーションコードで使用されているオープンソース依存関係の整合性を検証」し、自社のシステムと顧客が危険にさらされないようにするよう求めている。

オープンソース ソフトウェアでセキュリティ上の欠陥が発生する可能性があることは よく知られています。商用ソフトウェア業界は、商用製品の構築に FOSS に依存していますが、インターネット全体が構築されているフリー ソフトウェア エコシステムの強化とセキュリティ確保にはほとんど時間を費やしていません。予想どおり、最終結果は良くありません。

GizmodoはAppleにコメントを求めており、返答があればこの記事を更新する予定だ。