ข้อบกพร่องโอเพ่นซอร์สใหม่ทำให้แอป iOS นับพันรายการเสี่ยงต่อการถูกไฮแจ็ก

ชุดช่องโหว่ที่เพิ่งค้นพบในยูทิลิตี้ซอฟต์แวร์โอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายอาจสร้างปัญหาใหญ่ให้กับระบบนิเวศ iOS และ MacOS ส่วนใหญ่ ข้อบกพร่องดังกล่าวอาจส่งผลกระทบต่อแอปที่ใช้กันอย่างแพร่หลายนับพัน รวมถึงโปรแกรมยอดนิยมเช่น TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger และอื่นๆ อีกมากมาย ตาม การวิจัยด้านความปลอดภัย ที่เกี่ยวข้องแม้ว่าส่วนประกอบโอเพ่นซอร์สจะได้รับการแก้ไขแล้ว แต่ทีม DevOps สำหรับแอปที่ได้รับผลกระทบจะต้องพยายามอย่างหนักเพื่อให้แน่ใจว่าระบบของพวกเขาได้รับการอัปเดตอย่างเหมาะสมเพื่อปกป้องผู้ใช้จากการแสวงหาประโยชน์ที่อาจเกิดขึ้น

ช่องโหว่นี้ถูกค้นพบในCocoapodsซึ่งเป็นตัวจัดการการพึ่งพาที่ใช้กันอย่างแพร่หลายสำหรับโครงการซอฟต์แวร์ที่เข้ารหัสในภาษาการเขียนโปรแกรม Swift และ Objective-C ผู้จัดการการพึ่งพาเป็นเครื่องมือสำคัญในกระบวนการพัฒนาซอฟต์แวร์ ช่วยให้สามารถตรวจสอบและลงนามเข้ารหัสลับของแพ็คเกจซอฟต์แวร์ได้ ความเสียหายของเครื่องมือดังกล่าวมีผลกระทบอย่างมาก (และไม่ดี) ต่อส่วนใหญ่ของเว็บ

ข้อบกพร่องของ Cocoapods ถูกค้นพบโดยนักวิจัยจาก EVA Information Security ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์และอยู่ระหว่างการทดสอบ ข้อบกพร่องนี้เป็นผลมาจากการย้ายเซิร์ฟเวอร์ Cocoapods ที่ไม่สมบูรณ์ซึ่งเกิดขึ้นในปี 2014 เช่นเดียวกับแพ็คเกจซอฟต์แวร์นับพันที่ “ถูกละเลย” เนื่องจากข้อบกพร่องด้านความปลอดภัยในระบบ แพ็คเกจเหล่านั้นอาจถูกควบคุมโดยผู้ไม่หวังดีได้อย่างง่ายดาย และ (ตามสมมุติฐาน) ใช้เพื่อโจมตีห่วงโซ่อุปทานที่อาจแนะนำการอัปเดตโค้ดที่เป็นอันตรายให้กับโครงการซอฟต์แวร์องค์กรที่ต้องพึ่งพาแพ็คเกจเหล่านั้น นักวิจัยแจกแจงสถานการณ์ดังนี้:

กระบวนการย้ายข้อมูลในปี 2014 ทำให้มีแพ็คเกจที่ถูกละเลยหลายพันชุด (โดยไม่ทราบเจ้าของเดิม) ซึ่งหลายแพ็คเกจยังคงใช้กันอย่างแพร่หลายในไลบรารีอื่น การใช้ API สาธารณะและที่อยู่อีเมลที่มีอยู่ในซอร์สโค้ด CocoaPods ผู้โจมตีสามารถอ้างสิทธิ์ความเป็นเจ้าของแพ็คเกจใด ๆ เหล่านี้ ซึ่งจะช่วยให้ผู้โจมตีสามารถแทนที่ซอร์สโค้ดดั้งเดิมด้วยโค้ดที่เป็นอันตรายของตนเอง...ช่องโหว่ เราค้นพบว่าสามารถใช้เพื่อควบคุมตัวจัดการการพึ่งพาและแพ็คเกจที่เผยแพร่ใด ๆ การพึ่งพาดาวน์สตรีมอาจหมายความว่าแอปพลิเคชันหลายพันรายการและอุปกรณ์นับล้านถูกเปิดเผยในช่วงสองสามปีที่ผ่านมา

ข้อบกพร่องทั้งสามได้รับการแก้ไขตั้งแต่นั้นมา แต่ความรุนแรงของข้อบกพร่องและความจริงที่ว่าข้อบกพร่องเหล่านี้ถูกเปิดเผยนานถึงเก้าปี จะทำให้ทีมซอฟต์แวร์จำนวนมากต้องตื่นตัวในเวลากลางคืนอย่างแน่นอน เหตุผลที่ Apple อยู่แถวหน้าและเป็นศูนย์กลางของความยุ่งเหยิงนี้ก็คือแอป iOS และ MacOS จำนวนมากได้รับการเข้ารหัสโดยใช้ทั้ง ภาษา SwiftและObjective-Cทำให้แอปเหล่านี้มีความอ่อนไหวต่อปัญหาที่เกิดขึ้นเป็นพิเศษ นักวิจัยเขียนว่าข้อบกพร่องอาจส่งผลกระทบต่อแอป “นับพัน” หรือ “ล้าน” และ “การโจมตีระบบนิเวศของแอพมือถืออาจทำให้อุปกรณ์ Apple เกือบทุกเครื่องติดได้ ส่งผลให้องค์กรหลายพันแห่งเสี่ยงต่อความเสียหายทางการเงินและชื่อเสียง”

นักวิจัยกล่าวว่าพวกเขายังไม่เห็นหลักฐานใด ๆ ที่บ่งชี้ว่าแอปถูกบุกรุกจริง ๆ อย่างไรก็ตาม หากเป็นเช่นนั้น อาจสร้างปัญหาใหญ่ให้กับผู้ใช้ได้อย่างชัดเจน นักวิจัยตั้งข้อสังเกตว่าเนื่องจากแอปจำนวนมากสามารถ "เข้าถึงข้อมูลที่ละเอียดอ่อนที่สุดของผู้ใช้ได้ เช่น รายละเอียดบัตรเครดิต เวชระเบียน เอกสารส่วนตัว" อาชญากรไซเบอร์จึงสามารถแทรกโค้ดลงในแอปผ่านทางพ็อดที่ถูกบุกรุก ทำให้พวกเขา "เข้าถึงข้อมูลนี้สำหรับผู้ประสงค์ร้ายเกือบทุกชนิด วัตถุประสงค์เท่าที่จะจินตนาการได้ - แรนซัมแวร์ การฉ้อโกง แบล็กเมล์ การจารกรรมขององค์กร”

นักวิจัยได้กระตุ้นให้นักพัฒนาองค์กรตรวจสอบผลิตภัณฑ์ของตนและ “ตรวจสอบความสมบูรณ์ของการพึ่งพาโอเพ่นซอร์สที่ใช้ในโค้ดแอปพลิเคชัน” ดังนั้นจึงมั่นใจได้ว่าระบบและลูกค้าจะไม่ถูกเปิดเผย

ข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้นในซอฟต์แวร์โอเพ่นซอร์สนั้น เป็นที่ทราบกันดีอยู่แล้ว อุตสาหกรรมซอฟต์แวร์เชิงพาณิชย์อาศัย FOSS ในการสร้างผลิตภัณฑ์เชิงพาณิชย์ แต่ใช้เวลาเพียงเล็กน้อยในการสนับสนุนและรักษาความปลอดภัยระบบนิเวศซอฟต์แวร์ฟรีที่อินเทอร์เน็ตทั้งหมดสร้างขึ้น ผลลัพธ์ที่ได้คือคาดเดาได้ไม่ดี

Gizmodo ติดต่อ Apple เพื่อขอความคิดเห็นและจะอัปเดตเรื่องราวนี้หากตอบกลับ