새로운 오픈 소스 버그로 인해 수천 개의 iOS 앱이 하이재킹에 취약해졌습니다.
널리 사용되는 오픈 소스 소프트웨어 유틸리티에서 새로 발견된 일련의 취약점은 iOS 및 MacOS 생태계의 상당 부분에 큰 문제를 일으킬 수 있습니다. 관련 보안 조사 에 따르면 문제의 버그는 TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger 등과 같은 인기 프로그램을 포함하여 널리 사용되는 수천 개의 앱에 영향을 미칠 수 있습니다 . 오픈 소스 구성 요소 자체는 패치되었지만 영향을 받는 앱의 DevOps 팀은 잠재적인 악용으로부터 사용자를 보호하기 위해 시스템을 적절하게 업데이트하기 위해 분투하고 있습니다.
추천 독서
추천 독서
이 취약점은 Swift 및 Objective-C 프로그래밍 언어로 코딩된 소프트웨어 프로젝트에 널리 사용되는 종속성 관리자인 Cocoapods 에서 발견되었습니다 . 종속성 관리자는 소프트웨어 개발 프로세스에서 중요한 도구로, 소프트웨어 패키지의 유효성 검사 및 암호화 서명을 허용합니다. 이러한 도구의 손상은 분명히 웹의 많은 부분에 크고 나쁜 영향을 미칩니다.
관련된 컨텐츠
관련된 컨텐츠
Cocoapods 버그는 사이버 보안 및 침투 테스트 회사인 EVA Information Security의 연구원에 의해 발견되었습니다 . 이 버그는 2014년에 발생한 불완전한 Cocoapods 서버 마이그레이션의 결과로, 수천 개의 소프트웨어 패키지가 "고아"되었습니다. 시스템의 보안 결함으로 인해 이러한 패키지는 악의적인 행위자에 의해 쉽게 약탈될 수 있으며 (가설적으로) 이를 사용하는 기업 소프트웨어 프로젝트에 악성 코드 업데이트를 도입할 수 있는 공급망 공격을 저지르는 데 사용될 수 있습니다. 연구자들은 상황을 다음과 같이 분류합니다.
2014년 마이그레이션 프로세스로 인해 수천 개의 고아 패키지(원래 소유자를 알 수 없음)가 남았으며, 그 중 다수는 여전히 다른 라이브러리에서 널리 사용되고 있습니다. 공격자는 CocoaPods 소스 코드에서 사용할 수 있는 공개 API와 이메일 주소를 사용하여 이러한 패키지에 대한 소유권을 주장할 수 있으며, 이를 통해 공격자는 원래 소스 코드를 자신의 악성 코드로 대체할 수 있습니다...취약점 우리는 종속성 관리자 자체와 게시된 패키지를 제어하는 데 사용할 수 있다는 것을 발견했습니다. 다운스트림 종속성은 지난 몇 년 동안 수천 개의 애플리케이션과 수백만 개의 장치가 노출되었음을 의미할 수 있습니다.
세 가지 버그는 모두 패치되었지만 그 심각성과 무려 9년 동안 노출된 채로 방치되었다는 사실로 인해 많은 소프트웨어 팀이 밤잠을 설치고 있습니다. Apple이 이 혼란의 선두이자 중심에 있는 이유는 많은 iOS 및 MacOS 앱이 Swift 및 Objective-C 언어를 모두 사용하여 코딩되어 특히 관련 문제에 취약하기 때문입니다. 연구원들은 버그가 "수천" 또는 "수백만"의 앱에 영향을 미칠 수 있으며, "모바일 앱 생태계에 대한 공격은 거의 모든 Apple 장치를 감염시켜 수천 개의 조직을 치명적인 재정 및 평판 손상에 취약하게 만들 수 있습니다"라고 썼습니다.
연구원들은 앱이 실제로 손상되었음을 시사하는 증거를 아직 보지 못했다고 말합니다. 그러나 만약 그렇다면 분명히 사용자에게 큰 문제를 일으킬 수 있습니다. 연구원들은 많은 앱이 "신용 카드 세부 정보, 의료 기록, 개인 자료 등 사용자의 가장 민감한 정보에 액세스"할 수 있기 때문에 사이버 범죄자가 손상된 포드를 통해 앱에 코드를 주입하여 "거의 모든 악성 정보에 액세스할 수 있도록" 할 수 있다고 지적합니다. 상상할 수 있는 목적 - 랜섬웨어, 사기, 협박, 기업 스파이 활동.”
연구원들은 기업 개발자들에게 제품을 검토하고 “애플리케이션 코드에 사용된 오픈 소스 종속성의 무결성을 확인”하여 시스템과 고객이 노출되지 않도록 할 것을 촉구했습니다.
오픈 소스 소프트웨어에서 발생할 수 있는 보안 결함은 잘 알려져 있습니다. 상용 소프트웨어 산업은 상용 제품을 구축하기 위해 FOSS에 의존하고 있지만 전체 인터넷을 구성하는 무료 소프트웨어 생태계를 강화하고 보호하는 데는 거의 시간이 소요되지 않습니다. 예상대로 최종 결과는 좋지 않습니다.
Gizmodo는 Apple에 연락하여 의견을 요청했으며 응답이 있으면 이 이야기를 업데이트할 것입니다.