Techinside Google News
Techinside Google News

Apple CocoaPods nedeniyle savunmasız kaldı!

Apple CocoaPods nedeniyle güvenlik tehlikesi yaşıyor. Bu sorunla birlikte Apple kullanıcıları tehlike altında.
- Advertisement -

Apple cihazları, üç kritik güvenlik açığının neredeyse on yıldır fark edilmemesinin ardından tedarik zinciri saldırılarına karşı savunmasız hale gelebilir. Yeni bir araştırma, dünyadaki hemen hemen her Apple cihazının, bağımlılık yöneticisi CocoaPods aracılığıyla bir dizi kritik güvenlik açığına maruz kaldığını ortaya koydu.

Apple CocoaPods için önlem almalı

CocoaPods, Apple geliştiricilerinin harici kütüphaneleri yönetmek için kullandığı, Swift ve Objective-C için popüler bir açık kaynaklı bağımlılık yöneticisidir ve üç milyondan fazla mobil uygulamada yaklaşık 100.000 kütüphane kullanılmaktadır. EVA Bilgi Güvenliği, CocoaPods’ta bir saldırganın potansiyel olarak binlerce sahipsiz pod’un mülkiyetini iddia etmesine ve hizmetin ana sunucuda keyfi kod çalıştırmasına olanak tanıyabilecek çeşitli güvenlik açıkları bulduğunu açıkladı.

Yapılan araştırmaya göre, söz konusu açıklar 2014 yılında ortaya çıkmış ve ancak Ekim 2023’te yamalanarak, dokuz yıl boyunca istismar edilmeyi bekleyerek gizli kalmış. Bu güvenlik açıklarından ilki, 2014 yılında yeni bir trunk sunucusuna yapılan geçiş sırasında binlerce yetim paketin kalmasıyla ortaya çıktı. Bu da orijinal sahibinin bilinmediği anlamına geliyor; ancak bunların birçoğu hala diğer kütüphanelerde kullanılıyor.

Bu, saldırganların herhangi bir doğrulamaya gerek kalmadan genel bir API kullanarak pod’ları ele geçirebileceği anlamına geliyordu; yaklaşık 2.000 pod hala sahipleri tarafından talep edilmemiş ve tehdit aktörleri tarafından talep edilmeyi bekliyordu. EVA ekibi, bu kapsüllerin kötü amaçlı kodlarla enjekte edilebileceği ve dünya çapında milyonlarca iOS ve macOS cihazını tehlikeye atabilecek tedarik zinciri saldırılarında kullanılabileceği konusunda uyardı.

CVSS’de 9.3 olarak belirlenen CVE-2024-38368 numaralı bu kusur, saldırganların herhangi bir pod’daki tüm sahipleri kaldırmasına ve bunların kötü niyetli kişiler tarafından talep edilmesine olanak tanıyordu. EVA’nın işaretlediği ikinci güvenlik açığı olan CVE-2024-38367 , CocoaPods’un kimlik doğrulama sürecindeki bir açığı kullanarak saldırganların doğrulama sürecini manipüle ederek CocoaPods ana hesabının tamamını ele geçirmesine olanak tanıyan bir oturum ele geçirme kusuru.

EVA’nın araştırmasında, CocoaPods’un yeni cihazları e-posta yoluyla doğruladığı, kullanıcının yalnızca bir bağlantıya tıklayarak e-posta adresini doğrulamasını gerektirdiği belirtiliyor. Ancak raporda bu işlevin kolayca ele geçirilebileceği uyarısı yapılıyor.

Siz bu konu hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlarda paylaşın!

SON VİDEO

TÜMÜ

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

İlginizi çekebilir