Source: Slashdot
根据Cyber Express的报道,一些广泛使用的网络和社交媒体应用可能对三个新发现的CocoaPods漏洞易受攻击,包括潜在地影响数百万苹果设备。E.V.A信息安全研究人员报告了CocoaPods依赖管理器中的三个漏洞,可让恶意行为者接管数千个未声明归属权的Pod,并向许多最受欢迎的iOS和MacOS应用程序注入恶意代码,可能影响“几乎每一个苹果设备。这些漏洞已经得到修补,但研究人员仍发现了685个“使用孤立Pod的显式依赖性”的Pod;毫无疑问,在专有代码库中还有数百甚至数千个漏洞。这些新发现的漏洞实际上可以追溯到2014年5月CocoaPods迁移到新“Trunk”服务器的过程中,留下了1,866个未被所有者取回的孤立Pod。
虽然漏洞已得到修补,但在2023年10月之前使用CocoaPods的开发人员和DevOps团队的工作才刚刚开始。E.V.A研究人员表示:“近年来使用CocoaPods的开发人员和DevOps团队应验证其应用程序代码中使用的开源依赖项的完整性。我们发现的漏洞可用于控制依赖管理器本身,以及任何已发布的软件包。
研究人员写道:“依赖管理器是软件供应链安全经常被忽视的一个方面。安全领导人应探索增加对这些工具使用的治理和监督的方法。EVA研究人员写道:“虽然没有直接证据表明这些漏洞在野外被利用,但缺乏证据并不意味着没有被利用。
潜在的代码更改可能影响全球范围内数百万的iPhone、Mac、AppleTV和AppleWatch设备。尽管应用程序开发人员或用户无需采取任何行动,E.V.A研究人员建议几种方法来防范这些漏洞:确保与所有开发人员同步podfile.lock文件以确保CocoaPods的安全和一致使用,对内部开发的Pod执行CRC验证,对第三方代码和依赖项进行全面的安全审查。此外,定期审查和验证CocoaPods依赖项的维护状态和所有权,并进行定期安全扫描,谨慎对待广泛使用的依赖项,以防成为潜在的攻击目标。
在软件供应链安全中,开发人员和安全领导人需要重视依赖管理器的治理和监督,以确保应用程序的安全性,避免潜在的恶意代码攻击。
