CocoaPods出包！300万款「iOS App」惊传安全性漏洞

▲CocoaPods 中发现了一系列严重的安全漏洞。（示意图／翻摄自苹果官网）

图文／CTWANT

根据一份资讯安全研究报告指出，目前有超过300万款iOS、macOS的App都暗藏一个安全性漏洞，这个漏洞的存在有可能会让骇客可以轻松地取得使用者的个人资讯。而之所以这次数量如此庞大，是因为一款开发苹果App时会大量使用到的第三方编码管理工具库CocoaPods发生问题。

根据《9to5mac》报导指出，他们引述ArsTechnica基于EVA Information Security的研究报告后解释，在过去10年中，大量使用CocoaPods来开发软体的App均有暗藏这个漏洞。EVA Information Security表示，这个漏洞可以让有心人士获取使用者的敏感资讯，像是信用卡资料、医疗纪录与一些私人资料。这些资料有可能被用于多种恶意用途，像是勒索软体、诈骗、勒索或是企业间谍活动。

漏洞的根源是出现在CocoaPods用来验证开发者身份的电子邮件验证机制，其中存在一个问题，攻击者可以操纵验证网址指向恶意伺服器。目前在接获通报后，CocoaPods已经采取相对应措施来修补这个漏洞。为了避免再次发生类似的事情，CocoaPods还增加了一个新功能，专门用来恢复那些无人管理的资料库，但这部分需要软体的开发者与CocoaPods连系后才能进行。

报导中也提到，这并非是CocoaPods第一次遭遇资安问题，早在2021年时，CocoaPods的维护者就曾发现一个安全漏洞，该漏洞允许恶意代码在管理CocoaPods的伺服器上运作，这可能导致暗藏恶意代码的资料库直接出现在iOS和Mac的软体中。

延伸阅读▸ 她列「落落长」每月支出表共68万…喊「给说要养妳的男人」　台男看傻：合理吗？▸ 台湾婚礼乱象？　男子观察大票人犯「1大忌」怒轰：超不尊重▸ 传潘若迪离婚小15岁嫩妻　经纪人：完全是无稽之谈