Các lỗi mã nguồn mở mới khiến hàng nghìn ứng dụng iOS dễ bị tấn công
Một loạt lỗ hổng mới được phát hiện trong tiện ích phần mềm nguồn mở được sử dụng rộng rãi có thể gây ra rắc rối lớn cho phần lớn hệ sinh thái iOS và MacOS. Theo nghiên cứu bảo mật liên quan , các lỗi được đề cập có thể ảnh hưởng đến hàng nghìn ứng dụng được sử dụng rộng rãi, bao gồm các chương trình phổ biến như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger và nhiều ứng dụng khác . Mặc dù bản thân các thành phần nguồn mở đã được vá, nhưng các nhóm DevOps phụ trách các ứng dụng bị ảnh hưởng chắc chắn đang nỗ lực đảm bảo rằng hệ thống của họ được cập nhật đúng cách nhằm bảo vệ người dùng khỏi nguy cơ bị khai thác.
cách đọc được đề nghị
cách đọc được đề nghị
Các lỗ hổng được phát hiện trong Cocoapod , một trình quản lý phụ thuộc được sử dụng rộng rãi cho các dự án phần mềm được mã hóa bằng ngôn ngữ lập trình Swift và Objective-C. Trình quản lý phụ thuộc là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mật mã các gói phần mềm. Sự hư hỏng của một công cụ như vậy rõ ràng có những tác động lớn (và xấu) đối với phần lớn trang web.
Nội dung liên quan
Nội dung liên quan
Các lỗi của Cocoapod được phát hiện bởi các nhà nghiên cứu của EVA Information Security, một công ty an ninh mạng và pentesting. Các lỗi này là kết quả của quá trình di chuyển máy chủ Cocoapod không hoàn hảo diễn ra vào năm 2014, khiến hàng nghìn gói phần mềm “mồ côi” hàng nghìn gói phần mềm. Do thiếu sót về bảo mật trong hệ thống, các gói đó có thể dễ dàng bị kẻ xấu chiếm đoạt và (theo giả thuyết) được sử dụng để thực hiện các cuộc tấn công chuỗi cung ứng nhằm đưa ra các bản cập nhật mã độc cho các dự án phần mềm của công ty dựa vào chúng. Các nhà nghiên cứu chia nhỏ tình huống như thế này:
Quá trình di chuyển năm 2014 đã để lại hàng nghìn gói đơn lẻ (không xác định được chủ sở hữu ban đầu), nhiều gói trong số đó vẫn được sử dụng rộng rãi trong các thư viện khác. Bằng cách sử dụng API công khai và địa chỉ email có sẵn trong mã nguồn CocoaPods, kẻ tấn công có thể yêu cầu quyền sở hữu đối với bất kỳ gói nào trong số này, sau đó cho phép kẻ tấn công thay thế mã nguồn ban đầu bằng mã độc hại của riêng chúng...Các lỗ hổng chúng tôi phát hiện ra có thể được sử dụng để kiểm soát chính trình quản lý phụ thuộc và mọi gói đã xuất bản. Sự phụ thuộc ở hạ nguồn có thể có nghĩa là hàng nghìn ứng dụng và hàng triệu thiết bị đã bị lộ trong vài năm qua.
Cả ba lỗi kể từ đó đã được vá, nhưng mức độ nghiêm trọng của chúng và thực tế là chúng đã bị phơi bày trong suốt 9 năm, chắc chắn đang khiến nhiều nhóm phần mềm phải thức trắng đêm. Lý do khiến Apple đứng đầu và trung tâm của mớ hỗn độn này là vì nhiều ứng dụng iOS và MacOS được mã hóa bằng cả ngôn ngữ Swift và Objective-C , khiến chúng đặc biệt dễ gặp phải các vấn đề đang diễn ra. Các nhà nghiên cứu viết rằng các lỗi này có thể ảnh hưởng đến “hàng nghìn” hoặc “hàng triệu” ứng dụng và “một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm sang hầu hết mọi thiết bị của Apple, khiến hàng nghìn tổ chức dễ bị tổn hại nghiêm trọng về tài chính và danh tiếng”.
Các nhà nghiên cứu cho biết họ chưa thấy bất kỳ bằng chứng nào cho thấy các ứng dụng thực sự đã bị xâm phạm. Tuy nhiên, nếu có, rõ ràng nó có thể gây rắc rối lớn cho người dùng. Các nhà nghiên cứu lưu ý rằng vì nhiều ứng dụng có thể “truy cập thông tin nhạy cảm nhất của người dùng: chi tiết thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư”, tội phạm mạng có thể tiêm mã vào ứng dụng thông qua các nhóm bị xâm nhập, cho phép chúng “truy cập thông tin này cho hầu hết mọi mục đích độc hại.” mục đích có thể tưởng tượng được - ransomware, lừa đảo, tống tiền, gián điệp công ty.”
Các nhà nghiên cứu đã kêu gọi các nhà phát triển doanh nghiệp xem xét sản phẩm của họ và “xác minh tính toàn vẹn của các phần phụ thuộc nguồn mở được sử dụng trong mã ứng dụng của họ”, từ đó đảm bảo rằng hệ thống và khách hàng của họ không bị lộ.
Những thiếu sót về bảo mật có thể phát sinh trong phần mềm nguồn mở là điều ai cũng biết. Ngành công nghiệp phần mềm thương mại dựa vào FOSS để xây dựng các sản phẩm thương mại của mình, nhưng lại dành rất ít thời gian cho việc củng cố và đảm bảo hệ sinh thái phần mềm miễn phí mà toàn bộ internet được xây dựng từ đó. Kết quả cuối cùng được dự đoán là không tốt.
Gizmodo đã liên hệ với Apple để lấy bình luận và sẽ cập nhật câu chuyện này nếu có phản hồi.