Yeni Açık Kaynak Hataları Binlerce iOS Uygulamasını Ele Geçirilmeye Karşı Savunmasız Bırakıyor

Yaygın olarak kullanılan bir açık kaynaklı yazılım yardımcı programında yeni keşfedilen bir dizi güvenlik açığı, iOS ve MacOS ekosistemlerinin büyük bölümleri için büyük sorunlara yol açabilir. İlgili güvenlik araştırmasına göre, söz konusu hatalar TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger ve diğerleri gibi popüler programlar da dahil olmak üzere yaygın olarak kullanılan binlerce uygulamayı etkileyebilir . Açık kaynak bileşenlerinin kendileri yamalanmış olsa da, etkilenen uygulamalara yönelik DevOps ekipleri, kullanıcıları potansiyel istismardan korumak için sistemlerinin uygun şekilde güncellendiğinden emin olmak için kesinlikle çabalıyor.

Güvenlik açıkları , Swift ve Objective-C programlama dillerinde kodlanan yazılım projelerinde yaygın olarak kullanılan bir bağımlılık yöneticisi olan Cocoapods'ta keşfedildi . Bağımlılık yöneticileri, yazılım geliştirme sürecinde yazılım paketlerinin doğrulanmasına ve kriptografik olarak imzalanmasına olanak tanıyan hayati araçlardır. Böyle bir aracın bozulmasının, web'in büyük bölümleri için büyük (ve kötü) sonuçları olduğu açıktır.

Cocoapod'ların hataları , siber güvenlik ve sızma testi firması EVA Information Security'deki araştırmacılar tarafından keşfedildi . Hatalar, 2014 yılında gerçekleşen ve binlerce yazılım paketinin "artık" kalmasına neden olan kusurlu bir Cocoapods sunucu geçişinin sonucudur. Sistemdeki güvenlik eksiklikleri nedeniyle, bu paketler kötü niyetli bir kişi tarafından kolayca ele geçirilebilir ve (varsayımsal olarak) bunları kullanan kurumsal yazılım projelerine kötü amaçlı kod güncellemeleri gönderebilecek tedarik zinciri saldırıları gerçekleştirmek için kullanılabilir. Araştırmacılar durumu şu şekilde sıralıyor:

2014'teki geçiş süreci, çoğu hala diğer kütüphanelerde yaygın olarak kullanılan binlerce paketten yoksun kaldı (burada asıl sahibi bilinmiyor). Bir saldırgan, genel bir API ve CocoaPods kaynak kodunda bulunan bir e-posta adresini kullanarak bu paketlerden herhangi birinin sahibi olduğunu iddia edebilir ve bu da saldırganın orijinal kaynak kodunu kendi kötü amaçlı koduyla değiştirmesine olanak tanır... Güvenlik açıkları bağımlılık yöneticisinin kendisini ve yayınlanmış herhangi bir paketi kontrol etmek için kullanılabileceğini keşfettik. Aşağı yöndeki bağımlılıklar, son birkaç yılda binlerce uygulamanın ve milyonlarca cihazın açığa çıkması anlamına gelebilir.

O zamandan bu yana üç hata da yamandı, ancak bunların ciddiyeti ve dokuz yıl kadar bir süre boyunca açıkta kalması, pek çok yazılım ekibinin geceleri uyanık kalmasına neden oluyor. Apple'ın bu karışıklığın önünde ve merkezinde yer almasının nedeni, birçok iOS ve MacOS uygulamasının hem Swift hem de Objective-C dilleri kullanılarak kodlanmış olması ve bu da onları mevcut sorunlara karşı özellikle duyarlı hale getiriyor. Araştırmacılar, hataların "binlerce" veya "milyonlarca" uygulamayı etkileyebileceğini ve "mobil uygulama ekosistemine yapılacak bir saldırının hemen hemen her Apple cihazını etkileyerek binlerce kuruluşu yıkıcı finansal ve itibarsal hasara karşı savunmasız bırakabileceğini" yazıyor.

Araştırmacılar henüz uygulamaların güvenliğinin ihlal edildiğini gösteren herhangi bir kanıt görmediklerini söylüyor. Ancak eğer bazıları öyle olsaydı, bu açıkça kullanıcılar için büyük sorunlara yol açabilirdi. Araştırmacılar, birçok uygulamanın "bir kullanıcının en hassas bilgilerine (kredi kartı bilgileri, tıbbi kayıtlar, özel materyaller) erişebildiğinden" bir siber suçlunun, tehlikeye atılan bölmeler aracılığıyla uygulamalara kod enjekte ederek "neredeyse her türlü kötü amaçlı yazılım için bu bilgilere erişmelerini" mümkün kılabileceğini belirtiyor. akla gelebilecek bir amaç; fidye yazılımı, dolandırıcılık, şantaj, kurumsal casusluk.”

Araştırmacılar, kurumsal geliştiricilere ürünlerini incelemeleri ve "uygulama kodlarında kullanılan açık kaynak bağımlılıklarının bütünlüğünü doğrulamaları", böylece sistemlerinin ve müşterilerinin açığa çıkmamasını sağlamaları yönünde çağrıda bulundu.

Açık kaynaklı yazılımlarda ortaya çıkabilecek güvenlik eksiklikleri bilinmektedir . Ticari yazılım endüstrisi, ticari ürünlerini oluşturmak için FOSS'a güveniyor, ancak tüm internetin üzerine inşa edildiği özgür yazılım ekosistemini desteklemek ve güvence altına almak için çok az zaman harcanıyor. Nihai sonuçlar tahmin edilebileceği gibi iyi değil.

Gizmodo yorum yapmak için Apple'a ulaştı ve yanıt vermesi halinde bu hikayeyi güncelleyecek.