Milyonlarca iOS ve macOS uygulaması oluşturmak için kullanılan açık kaynaklı bir araçta kritik güvenlik açıkları keşfedildi. Yaklaşık on yıldır bilinmeyen bu güvenlik açıkları, kredi kartı numaraları gibi hassas verilerin çalınmasına izin verebilir.
EVA Information Security araştırmacıları, üç milyon iOS ve macOS uygulamasını etkileyen güvenlik açıkları keşfetti. Ars Technica'nın bildirdiğine göre, güvenlik açıkları şurada yer alıyor: Hindistan cevizi kabuklarıiPhone veya Mac için bir uygulama geliştirirken harici kütüphaneleri yönetmeye yardımcı olan açık kaynaklı bir araç. Geliştiriciler arasında oldukça popülerdir, üçüncü taraf bileşenlerinin entegrasyonunu ve güncellenmesini kolaylaştırır uygulamalarda. CocoaPods sayar “3 milyondan fazla uygulamada kullanılan yaklaşık 100.000 kütüphane”.
Boşluklardan yararlanılarak sözde bir düzenleme yapmak mümkündür. Tedarik zinciri. Bu tür saldırı, üçüncü taraflarca sağlanan yazılım, donanım veya hizmetlere sızarak bir sistemi tehlikeye atmayı içerir. Bilgisayar korsanları, doğrudan ana hedefe saldırmak yerine, tedarikçilerindeki veya ortaklarındaki güvenlik açıklarını kullanır. Geçtiğimiz yıl MOVEit saldırısı sırasında olan da buydu. Bu durumda, bilgisayar korsanları uygulamalara değil, CocoaPods'a saldırdı.
Araştırmacılara göre, asıl kusur harici kütüphanelerin geliştiricilerini doğrulamak için kullanılan e-posta doğrulama mekanizmasındadır. Bu sistem, bir geliştirici tarafından sağlanan e-posta adresine bir doğrulama bağlantısı göndermek üzere tasarlanmıştır. Ne yazık ki, güvenlik açığı bir saldırgana, geliştiriciyi kendi kontrolleri altındaki kötü amaçlı bir sunucuya yönlendirmek için doğrulama bağlantısı URL'sini manipüle etme yeteneği bıraktı. Saldırgan daha sonra hedefini kütüphaneye erişim elde etmesi için kandırır. Daha sonra büyük ölçekli siber saldırılar gerçekleştirmek için içine kötü amaçlı kod yerleştirebilirler. Toplamda, üç ayrı hata keşfedildi. Diğer iki ihlal de kod enjeksiyonuyla sonuçlandı.
On yıllık kırılganlık
Araştırmacılara göre güvenlik açıkları şunlardır: neredeyse on yıl boyunca ağzı açık kaldıGüvenlik açığı 2014 yılında bir “göç süreci”On yıl boyunca, bilgisayar korsanları uygulamalara kötü amaçlı kodlar ekleyerek milyonlarca, hatta milyarlarca Apple kullanıcısını riske atabilir.
Güvenlik açığı geçen Ekim ayında keşfedildi. EVA Information Security araştırmacıları tarafından uyarılan CocoaPods, sorunu düzeltmek için derhal adımlar attı. Yetkililer bir blog yazısında, sorunu çözdüklerini söyledi “Bu sorunları ortaya çıktıkça düzeltin.” Özellikle onlar var “kayıtlı e-posta adresinin kontrolü olmadan hiç kimsenin hesaplara erişememesini sağlamak için tüm oturum anahtarları silindi”.
Kusurların bilgisayar korsanları tarafından istismar edildiğine dair bir belirti yok. Ancak, “Kanıtlanmamış olması, gerçekleşmediği anlamına gelmez”CocoaPods'un başkanı Orta Therox kabul ediyor. Aynı anlamda bol miktarda bulunan EVA Bilgi Güvenliği araştırmacıları şunu ekliyor “yokluğun kanıtı, kanıtın yokluğu değildir.”
EVA Bilgi Güvenliği
EVA Information Security araştırmacıları, üç milyon iOS ve macOS uygulamasını etkileyen güvenlik açıkları keşfetti. Ars Technica'nın bildirdiğine göre, güvenlik açıkları şurada yer alıyor: Hindistan cevizi kabuklarıiPhone veya Mac için bir uygulama geliştirirken harici kütüphaneleri yönetmeye yardımcı olan açık kaynaklı bir araç. Geliştiriciler arasında oldukça popülerdir, üçüncü taraf bileşenlerinin entegrasyonunu ve güncellenmesini kolaylaştırır uygulamalarda. CocoaPods sayar “3 milyondan fazla uygulamada kullanılan yaklaşık 100.000 kütüphane”.
Hassas veriler risk altında
Boşluklardan yararlanılarak sözde bir düzenleme yapmak mümkündür. Tedarik zinciri. Bu tür saldırı, üçüncü taraflarca sağlanan yazılım, donanım veya hizmetlere sızarak bir sistemi tehlikeye atmayı içerir. Bilgisayar korsanları, doğrudan ana hedefe saldırmak yerine, tedarikçilerindeki veya ortaklarındaki güvenlik açıklarını kullanır. Geçtiğimiz yıl MOVEit saldırısı sırasında olan da buydu. Bu durumda, bilgisayar korsanları uygulamalara değil, CocoaPods'a saldırdı.
Araştırmacılara göre, asıl kusur harici kütüphanelerin geliştiricilerini doğrulamak için kullanılan e-posta doğrulama mekanizmasındadır. Bu sistem, bir geliştirici tarafından sağlanan e-posta adresine bir doğrulama bağlantısı göndermek üzere tasarlanmıştır. Ne yazık ki, güvenlik açığı bir saldırgana, geliştiriciyi kendi kontrolleri altındaki kötü amaçlı bir sunucuya yönlendirmek için doğrulama bağlantısı URL'sini manipüle etme yeteneği bıraktı. Saldırgan daha sonra hedefini kütüphaneye erişim elde etmesi için kandırır. Daha sonra büyük ölçekli siber saldırılar gerçekleştirmek için içine kötü amaçlı kod yerleştirebilirler. Toplamda, üç ayrı hata keşfedildi. Diğer iki ihlal de kod enjeksiyonuyla sonuçlandı.
Saldırının sonunda saldırgan ellerini uzatabilir hassas veri kredi kartı numaraları, tıbbi bilgiler veya diğer kişisel veriler gibi uygulamadan. Bu bilgiler bir siber suçlu için değerlidir. Diğer siber saldırıları gerçekleştirmek, bir banka hesabını soymak, fidye yazılımı dağıtmak veya İnternet kullanıcılarının kimliğini çalmak için kullanılabilir.
On yıllık kırılganlık
Araştırmacılara göre güvenlik açıkları şunlardır: neredeyse on yıl boyunca ağzı açık kaldıGüvenlik açığı 2014 yılında bir “göç süreci”On yıl boyunca, bilgisayar korsanları uygulamalara kötü amaçlı kodlar ekleyerek milyonlarca, hatta milyarlarca Apple kullanıcısını riske atabilir.
Güvenlik açığı geçen Ekim ayında keşfedildi. EVA Information Security araştırmacıları tarafından uyarılan CocoaPods, sorunu düzeltmek için derhal adımlar attı. Yetkililer bir blog yazısında, sorunu çözdüklerini söyledi “Bu sorunları ortaya çıktıkça düzeltin.” Özellikle onlar var “kayıtlı e-posta adresinin kontrolü olmadan hiç kimsenin hesaplara erişememesini sağlamak için tüm oturum anahtarları silindi”.
Kusurların bilgisayar korsanları tarafından istismar edildiğine dair bir belirti yok. Ancak, “Kanıtlanmamış olması, gerçekleşmediği anlamına gelmez”CocoaPods'un başkanı Orta Therox kabul ediyor. Aynı anlamda bol miktarda bulunan EVA Bilgi Güvenliği araştırmacıları şunu ekliyor “yokluğun kanıtı, kanıtın yokluğu değildir.”
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
EVA Bilgi Güvenliği