EVA Information Security’den siber güvenlik araştırmacıları, Swift ve Objective-C projeleri için bir bağımlılık yöneticisi olan CocoaPods’un, “trunk” sunucusunda üç güvenlik açığı taşıdığını belirttiler.
Bu güvenlik açıklarından biri, platformun pod geliştiricilerini doğrulamak için kullandığı e-posta doğrulama mekanizmasında bulunuyor. Geliştirici, pod ile ilişkili e-posta adresini girerek hesabına erişim sağlıyor ve ardından e-posta adresine bir bağlantı gönderiliyor. Ancak, bu bağlantıdaki URL, saldırganların kontrolündeki bir sunucuya yönlendirilmek üzere değiştirilebiliyor.
Milyonlarca kullanıcı risk altında
İkinci güvenlik açığı, tehdit aktörlerinin geliştiriciler tarafından terk edilmiş, ancak hala uygulamalarda kullanılan pod’ları ele geçirmesine olanak tanıyor. Üçüncü güvenlik açığı ise saldırganların trunk sunucusunda kod çalıştırabilmesine izin veriyor.
Yaklaşık 3 milyon mobil uygulamanın platformda bulunan 100.000 kütüphaneden bazılarını kullanması nedeniyle saldırı yüzeyi oldukça geniş. Dahası, kütüphane değiştirildiğinde, kullanıcıların herhangi bir etkileşimi olmadan uygulamalar otomatik olarak güncelleniyor.
Araştırmacılar, yazdıkları makalede, “Birçok uygulama, kullanıcıların en hassas bilgilerine erişebilir: kredi kartı bilgileri, tıbbi kayıtlar, özel materyaller ve daha fazlası. Bu uygulamalara kod enjekte etmek, saldırganların bu bilgileri fidye yazılımı, dolandırıcılık, şantaj, kurumsal casusluk gibi neredeyse hayal edilebilecek her türlü kötü niyetli amaç için kullanmasına olanak tanır. Bu süreç, şirketleri büyük yasal sorumluluklara ve itibar riskine maruz bırakabilir.” ifadelerine yer verdiler. Siz bu konu hakkında ne düşünüyorsunuz? Apple’ın bu güvenlik açığına maruz kalmasını nasıl yorumluyorsunuz?
Güvenlik açıkları Ekim 2023’te bildirildi ve düzeltildi, o dönemde bu açıkların vahşi ortamda istismar edildiğine dair bir kanıt bulunmamaktaydı. Bugün, uygulama geliştiricileri ve kullanıcıların herhangi bir önlem almasına gerek kalmadı.