طبق گزارش شرکت امنیت اطلاعاتی EVA، میلیون‌ها اپلیکیشن iOS و macOS درمعرض نوعی نقض امنیتی قرار دارند که هکرها می‌توانند از آن برای حمله‌های Supply Chain Attack بهره ببرند. این آسیب‌پذیری در CocoaPods کشف شده است. CocoaPods مخزن کد منبع‌بازی است که بسیاری از اپلیکیشن‌های محبوب توسعه‌یافته برای پلتفرم‌های اپل از آن استفاده می‌کنند.

گفته می‌شود حدود ۳ میلیون اپلیکیشن iOS و macOS که با CocoaPods ساخته شده‌اند، به‌مدت تقریباً ۱۰ سال درمعرض خطر قرار داشته‌اند. CocoaPods به توسعه‌دهندگان امکان می‌دهد تا کدهای متفرقه را ازطریق کتابخانه‌های متن‌باز به‌راحتی با برنامه‌های خود ادغام کنند. هنگامی‌که هر کتابخانه‌ای به‌روزرسانی شود، برنامه‌هایی که از آن استفاده می‌کنند، به‌طور خودکار جدیدترین به‌روزرسانی‌ها را دریافت می‌کنند.

شرکت امنیت اطلاعاتی EVA فاش کرد که نقض‌ امنیتی شناسایی‌شده در CocoaPods به مهاجمان اجازه می‌دهد تا به داده‌های حساس اپلیکیشن‌ها مانند اطلاعات کارت اعتباری و سوابق پزشکی و اطلاعات خصوصی دسترسی پیدا کنند. از این اطلاعات ممکن است برای اهداف مخرب ازجمله باج‌افزار و کلاه‌برداری و جاسوسی از شرکت‌ها سوءاستفاده شود.

EVA

آسیب‌پذیری‌های کشف‌شده در CocoaPods به مکانیزم تأیید ایمیل ناامن برای احراز هویت توسعه‌دهندگان هر کتابخانه ارتباط دارد. برای مثال، مهاجم می‌تواند URL موجود در لینک تأیید را برای هدایت به سرور مخرب دست‌کاری کند. تیم CocoaPods از مدتی قبل برای اطمینان از رفع این آسیب‌پذیری‌ها اقداماتی انجام داده است.

پس‌ از اینکه محققان EVA درباره‌ی آسیب‌پذیری شناسایی‌شده در CocoaPods به‌طور خصوصی به توسعه‌دهندگان این پلتفرم اطلاع دادند، آن‌ها تمام کلیدهای جلسات را پاک کردند تا مطمئن شوند که هیچ‌کس بدون داشتن کنترل روی آدرس ایمیل ثبت‌شده، نمی‌تواند به حساب‌ها دسترسی پیدا کند.

این اولین‌بار نیست که CocoaPods با مهاجمان مواجه می‌شود. در سال ۲۰۲۱، مسئولان این پروژه از مشکل امنیتی دیگری خبر دادند که امکان اجرای کد دلخواه را روی سرورهایی فراهم می‌کرد که مخازن CocoaPods را مدیریت می‌کنند. از این موضوع می‌توانست برای جایگزینی بسته‌های موجود با نسخه‌های مخرب حاوی کدهایی سوءاستفاده شود که درنهایت در اپلیکیشن‌های iOS و Mac گنجانده می‌شدند.

توصیه‌ی محققان EVA به توسعه‌دهندگانی که از CocoaPods در اپلیکیشن‌های خود استفاده می‌کنند، این است که همیشه اسکن‌های امنیتی را برای شناسایی کدهای مخرب در تمام کتابخانه‌های متفرقه اجرا کنند.