文章目录
[+]
CocoaPods 服务器中的漏洞
这些漏洞在十年间未被察觉,使成千上万的 macOS 和 iOS 应用程序面临潜在的供应链攻击。这些漏洞在十月份得到修复,位于管理 CocoaPods 的中央服务器中,这是约 300 万 macOS 和 iOS 应用程序至关重要的存储库。当开发人员对他们的代码包(称为“pods”)进行更改时,这些更改会自动通过更新合并到依赖应用程序中,通常无需终端用户采取任何操作。
代码注入风险
EVA 信息安全团队发现了这些漏洞,揭示了将恶意代码注入应用程序带来的严重风险。这可能导致对敏感用户信息(包括信用卡详细信息、医疗记录和私人数据)的未经授权访问。此类违规行为可能导致严重后果,如勒索软件、欺诈和企业间谍活动,为受影响公司带来法律和声誉风险。
利用漏洞
EVA 研究人员确定了三个可被利用以危害 CocoaPods 用户安全的漏洞。其中一个漏洞允许攻击者操纵 URL,将用户重定向到他们控制的服务器,可能暴露敏感数据。另一个漏洞使攻击者能够接管仍在使用中的被弃用 pods,即使没有所有权证明。此外,第三个漏洞允许攻击者利用电子邮件地址验证机制中的漏洞在主干服务器上执行代码。
(图片来自网络侵删)
