كان مستخدمو Apple معرضين لمخاطر أمنية محتملة لأكثر من عقد من الزمن بسبب ثغرة أمنية غير ملحوظة تم تصحيحها مؤخرًا في CocoaPods. CocoaPods هو مدير تبعية يستضيف مكتبات التعليمات البرمجية لمشاريع Swift وObjective-C المستخدمة في تطوير التطبيقات لأجهزة Apple.
إقرأ أيضاً : مجموعة iPhone 16: تسرب يؤكد أربعة نماذج مع شريحة A18
🚨 ثغرة أمنية خطيرة في CocoaPods تعرض الملايين من تطبيقات iOS لهجمات سلسلة التوريد 🚨
🔒 إلى جميع أعضاء Red Teamers ومطوري iOS! تم اكتشاف ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) في CocoaPods، والتي لم يتم التعرف عليها من قبل. ربما كان من الممكن استخدامه … pic.twitter.com/ifbFq6sIAj
– ثريتمون (@MonThreat) 2 يوليو 2024
اكتشف باحثون أمنيون ثغرة خطيرة كان من الممكن أن تسمح للجهات الخبيثة بإدخال تعليمات برمجية ضارة والوصول إلى معلومات المستخدم الحساسة، مما يعرض أكثر من 3 ملايين تطبيق وتطبيق يعمل بنظام التشغيل macOS للخطر.
اكتشف خبراء أمن تكنولوجيا المعلومات في شركة EVA ثلاث ثغرات أمنية لم تكن معروفة سابقًا في CocoaPods والتي كان من الممكن أن تسمح للجهات الفاعلة الخبيثة بالتحكم في الحزم المعزولة، والتي تسمى pods. وكان من الممكن أن يسمح لهم هذا الخلل بإدخال التعليمات البرمجية في التطبيقات المصممة لمنصات iOS وmacOS، والتي تستخدمها أجهزة iPhone وiPad من Apple.
ظهرت الثغرة الأمنية في عام 2014 أثناء عملية الترحيل على خادم CocoaPods “trunk”. ويشير الباحثون إلى أنه كان بإمكان الجهات الفاعلة الخبيثة الاستفادة من واجهة برمجة التطبيقات وعنوان البريد الإلكتروني، وكلاهما موجود في كود مصدر CocoaPods، للمطالبة بملكية البودات واستبدال الكود الأصلي بمحتواها الضار.
وقال الباحثون إن هناك ثغرة أمنية أخرى ربما سمحت للجهات الخبيثة باستغلال عملية التحقق من البريد الإلكتروني لتنفيذ تعليمات برمجية عشوائية على الخادم، مما يمنحهم القدرة على التعامل مع البودات واستبدالها. قد يؤدي ذلك إلى تعريض الملايين من تطبيقات iOS وmacOS للخطر، بالإضافة إلى بيانات المستخدم الحساسة مثل كلمات المرور ومعلومات بطاقة الائتمان والسجلات الطبية والمزيد.
وحذر الباحثون من أن إدخال التعليمات البرمجية في هذه التطبيقات قد يسمح للمهاجمين بالوصول إلى هذه المعلومات لمجموعة متنوعة من الأغراض الضارة، بما في ذلك برامج الفدية والاحتيال والابتزاز والتجسس الصناعي. وقد يؤدي ذلك إلى مخاطر قانونية كبيرة ومخاطر تتعلق بسمعة الشركات.
الملايين من تطبيقات iOS تتعرض لثغرة أمنية تم اكتشافها في CocoaPods https://t.co/5FKalDDJ8g بواسطة @filipeesposito
— 9to5Mac (@9to5mac) 2 يوليو 2024
وبحسب ما ورد تم تصحيح الثغرات الأمنية في أكتوبر 2023 وأبلغ الباحثون CocoaPods، مما أدى إلى مسح جميع مفاتيح الجلسة لضمان الوصول الآمن إلى البودات.
إقرأ أيضاً : سيعمل OnePlus على تحسين التسجيل الصوتي باستخدام ملخصات مدعومة بالذكاء الاصطناعي
