由于这一令人担忧的漏洞,数百万 iOS 应用可能遭受网络攻击
专家警告称,主要用于 iOS 和 macOS 应用程序开发的关键工具存在漏洞,导致数百万 Mac 应用程序面临供应链攻击。 网络安全研究人员 EVA Information Security 声称,Swift 和 Objective-C 项目的依赖管理器 CocoaPods 在用于管理 CocoaPods 的“主干”服务器中存在三个漏洞。 其中一个漏洞存在于平台用于验证 pod 开发人员的电子邮件验证机制中。要访问帐户,开发人员需要输入与 pod 关联的电子邮件地址,然后会收到一个发送到其电子邮件的链接。但是,链接中的 URL 可能会被更改,以将开发人员重定向到攻击者控制的服务器。 数百万人面临风险 第二个漏洞允许威胁行为者接管开发人员放弃但仍在应用程序中使用的 pod。第三个漏洞使攻击者能够在主干服务器上运行代码。 由于大约有 300 万个移动应用程序正在使用平台上的大约 10 万个库,因此攻击面相当大。更糟糕的是,一旦库被更改,使用它的应用程序就会自动更新,而无需最终用户的交互。 研究人员在报告中指出:“许多应用程序可以访问用户最敏感的信息:信用卡详细信息、医疗记录、私人资料等。在这些应用程序中注入代码可以让攻击者访问这些信息,用于几乎任何可以想象到的恶意目的——勒索软件、欺诈、敲诈、企业间谍活动……在此过程中,它可能使公司面临重大法律责任和声誉风险。” 这些漏洞于 2023 年 10 月被披露并修复——当时没有证据表明存在野外滥用。如今,应用程序开发人员和用户无需采取任何措施来保护其场所。 订阅 TechRadar Pro 新闻通讯,获取您的企业成功所需的所有热门新闻、观点、功能和指导! TechRadar Pro 的更多内容 1719947568 #由于这一令人担忧的漏洞数百万 #iOS #应用可能遭受网络攻击 2024-07-02 19:08:00