開源 Swift 與 Objective-C 資源庫 CocoaPods 遭揭露存在多個漏洞,這些漏洞讓數百萬 iOS 和 macOS 應用程式長期暴露於潛在攻擊風險,直至近日才獲得修補。儘管 CocoaPods 資源庫長期以來成為潛在攻擊目標,但目前並未發現有任何 iOS 或 macOS 應用程式遭受利用。
漏洞修補詳情揭示
這些漏洞於去年十月修補,並在 EVA Information Security 的報告中揭露。《Ars Technica》詳細報導了這些漏洞的問題及其可能被利用的方式,指出若有惡意攻擊者成功利用這些漏洞,可能導致嚴重問題。雖然目前尚無證據表明這些漏洞已被利用,但不能排除其已被秘密利用的可能性。
CocoaPods 的三大漏洞
CocoaPods 是一個為 Swift 和 Objective-C 專案提供資源包的庫,存在三個關鍵漏洞,均與開發者管理資源包的登錄方式相關。這些漏洞包括:操控驗證連結指向惡意伺服器(CVE-2024-38367)、控制被遺棄的資源包(CVE-2024-38368)、在伺服器上執行任意代碼(CVE-2024-38366)。這些漏洞可能使攻擊者影響使用 CocoaPods 的數百萬應用程式。
漏洞利用方式及潛在風險
理論上,攻擊者可以操控資源包,使其在每個使用該資源包的應用程式中自動更新,並執行惡意指令。如果該資源包有權訪問敏感用戶資訊,如密碼或信用卡資料,這些資訊可能會落入攻擊者手中。
CocoaPods 維護者 Orta Therox 解釋,能在伺服器上執行任意命令的攻擊者可以讀取環境變量,進而修改 CocoaPods/Specs 資料庫並讀取主幹數據庫。誘使使用者點擊指向第三方網站的連結,則可能竊取會話密鑰。他強調,無法保證這些事件未曾發生,但為安全起見,仍應謹慎對待。
開發者應對措施
對於在去年十月前使用 CocoaPods 的開發者,應確保系統安全性。雖然目前沒有證據顯示這些漏洞曾被利用,但這並不意味著完全安全。若資源包被修改並用於收集敏感數據或感染設備,這些行為可能未被察覺。
目前這些漏洞已修補,舊的會話密鑰也已被清除。未來與這些漏洞相關的問題應該不再發生。用戶應確保設備與應用程式保持最新,並持續監控帳戶異常活動,以確保安全。
