300 万个 iOS 和 macOS 应用程序遭受强大的供应链攻击
奥里希·劳森 十年来未被发现的漏洞导致数千个 macOS 和 iOS 应用程序容易受到供应链攻击。研究人员周一表示,黑客可能添加了恶意代码,危及数百万甚至数十亿安装这些应用程序的用户的安全。 这些漏洞于去年 10 月得到修复,位于用于管理 CocoaPods,这是一个开源 Swift 和 Objective-C 项目的存储库,大约有 300 万个 macOS 和 iOS 应用程序依赖该项目。当开发人员对其某个“pod”(CocoaPods 术语,指单个代码包)进行更改时,依赖应用程序通常会通过应用程序更新自动合并这些更改,通常不需要最终用户进行交互。 代码注入漏洞 “许多应用程序可以访问用户最敏感的信息:信用卡详细信息、医疗记录、私人资料等。” 写道 EVA Information Security 公司的研究人员发现,该漏洞就是他们发现的。“在这些应用程序中注入代码可以让攻击者访问这些信息,用于几乎任何可以想象到的恶意目的——勒索软件、欺诈、敲诈、企业间谍活动……在此过程中,它可能使公司面临重大的法律责任和声誉风险。” EVA 发现的三个漏洞源自一种不安全的验证电子邮件机制,该机制用于对单个 pod 的开发人员进行身份验证。开发人员输入与其 pod 关联的电子邮件地址。主干服务器通过向该地址发送链接来做出响应。当有人点击该链接时,他们便获得了该帐户的访问权限。 在一种情况下,攻击者可以操纵链接中的 URL,使其指向攻击者控制的服务器。该服务器接受了欺骗性的 祥丰华,用于识别 HTTP 请求中指定的目标主机的 HTTP 标头。EVA 研究人员发现,他们可以使用伪造的 XFH 来构建他们选择的 URL。 正常情况下,电子邮件会包含发布到 CocoaPods.org 服务器的有效链接,例如: 放大 / 有效的验证电子邮件是什么样的。 EVA信息安全 研究人员可以更改 URL 以指向他们自己的服务器: […]