CocoaPods出包!300万款「iOS App」惊传安全性漏洞

▲CocoaPods 中发现了一系列严重的安全漏洞。(示意图/翻摄自苹果官网)

图文/CTWANT

根据一份资讯安全研究报告指出,目前有超过300万款iOS、macOS的App都暗藏一个安全性漏洞,这个漏洞的存在有可能会让骇客可以轻松地取得使用者的个人资讯。而之所以这次数量如此庞大,是因为一款开发苹果App时会大量使用到的第三方编码管理工具库CocoaPods发生问题。

根据《9to5mac》报导指出,他们引述ArsTechnica基于EVA Information Security的研究报告后解释,在过去10年中,大量使用CocoaPods来开发软体的App均有暗藏这个漏洞。EVA Information Security表示,这个漏洞可以让有心人士获取使用者的敏感资讯,像是信用卡资料、医疗纪录与一些私人资料。这些资料有可能被用于多种恶意用途,像是勒索软体、诈骗、勒索或是企业间谍活动。

漏洞的根源是出现在CocoaPods用来验证开发者身份的电子邮件验证机制,其中存在一个问题,攻击者可以操纵验证网址指向恶意伺服器。目前在接获通报后,CocoaPods已经采取相对应措施来修补这个漏洞。为了避免再次发生类似的事情,CocoaPods还增加了一个新功能,专门用来恢复那些无人管理的资料库,但这部分需要软体的开发者与CocoaPods连系后才能进行。

报导中也提到,这并非是CocoaPods第一次遭遇资安问题,早在2021年时,CocoaPods的维护者就曾发现一个安全漏洞,该漏洞允许恶意代码在管理CocoaPods的伺服器上运作,这可能导致暗藏恶意代码的资料库直接出现在iOS和Mac的软体中。

延伸阅读▸ 她列「落落长」每月支出表共68万…喊「给说要养妳的男人」 台男看傻:合理吗?▸ 台湾婚礼乱象? 男子观察大票人犯「1大忌」怒轰:超不尊重▸ 传潘若迪离婚小15岁嫩妻 经纪人:完全是无稽之谈