- Tham gia
- 7/8/24
- Bài viết
- 143
- Điểm Reaction
- 30
- Điểm
- 8
Một lỗ hổng trên phần mềm nguồn mở Cocoapods có thể khiến các ứng dụng như Facebook, TikTok, Netflix trên iOS, macOS có nguy cơ bị tấn công.
Nhóm nghiên cứu của EVA Information Security, công ty an ninh mạng và kiểm thử tại Israel, cho biết đã phát hiện lỗi trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) được sử dụng rộng rãi cho các dự án phần mềm được mã hóa bằng ngôn ngữ lập trình Swift và Objective-C. Dependency Manager là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mã hóa các gói phần mềm. Do đó, việc một công cụ như vậy gặp vấn đề sẽ tác động xấu đến nhiều phần của phần mềm hoặc web.
Người dùng thao tác trên iPhone. Ảnh: NextPit
Theo EVA Information Security, vấn đề có thể đã tồn tại từ năm 2014, là kết quả của quá trình di chuyển máy chủ Cocoapods không trơn tru khiến hàng nghìn gói thư viện phần mềm bị "mồ côi", tức không còn liên kết với tệp gốc ban đầu và không thể truy xuất nguồn gốc. Đây là kẽ hở giúp kẻ tấn công thay thế mã nguồn gốc bằng mã độc hại của chúng.
"Do thiếu sót về bảo mật hệ thống, những gói này có thể bị kẻ xấu chiếm đoạt, sau đó sử dụng để tiêm nhiễm mã độc vào công cụ phát triển phần mềm dành cho nhà phát triển", đại diện nhóm viết trên blog. "Vì không được phát hiện trong thời gian dài, có nghĩa hàng nghìn ứng dụng và hàng triệu thiết bị đã bị lộ những năm qua".
Nhóm nghiên cứu của EVA Information Security, công ty an ninh mạng và kiểm thử tại Israel, cho biết đã phát hiện lỗi trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) được sử dụng rộng rãi cho các dự án phần mềm được mã hóa bằng ngôn ngữ lập trình Swift và Objective-C. Dependency Manager là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mã hóa các gói phần mềm. Do đó, việc một công cụ như vậy gặp vấn đề sẽ tác động xấu đến nhiều phần của phần mềm hoặc web.

Người dùng thao tác trên iPhone. Ảnh: NextPit
Theo EVA Information Security, vấn đề có thể đã tồn tại từ năm 2014, là kết quả của quá trình di chuyển máy chủ Cocoapods không trơn tru khiến hàng nghìn gói thư viện phần mềm bị "mồ côi", tức không còn liên kết với tệp gốc ban đầu và không thể truy xuất nguồn gốc. Đây là kẽ hở giúp kẻ tấn công thay thế mã nguồn gốc bằng mã độc hại của chúng.
"Do thiếu sót về bảo mật hệ thống, những gói này có thể bị kẻ xấu chiếm đoạt, sau đó sử dụng để tiêm nhiễm mã độc vào công cụ phát triển phần mềm dành cho nhà phát triển", đại diện nhóm viết trên blog. "Vì không được phát hiện trong thời gian dài, có nghĩa hàng nghìn ứng dụng và hàng triệu thiết bị đã bị lộ những năm qua".