EVA Information Security 社は、iOS および macOS アプリケーションに 10 年前から存在する重大なセキュリティ上の欠陥を発見しました。この欠陥により、多数のユーザー データが盗まれる可能性がありました。
これは提供されたレポートに記載されていますEVAの情報セキュリティ300 万近くのアプリケーションがiOSなどmacOS大規模なセキュリティ侵害に対して 10 年間脆弱だったでしょう。問題は、オープンソース コードのホストである CocoaPods にあると考えられます。
オープンソースプロジェクト
多くのアプリケーションは、当然のことながら同様のコードで動作する同様の機能を提供しています。したがって、多くの開発者は、オープンソース コード ライブラリを使用して、これらの基本的な機能や自分のスキルを超えた高度な機能を回復します。ここでココアポッドが登場します。
2011 年に開始されたこのサービスでは、コードを入手できる「ポッド」、つまりライブラリを見つけることができます。更新されると、そのコードを使用しているアプリケーションも自動的に更新されます。 EVA Information Securityが指摘した欠陥は2014年に遡り、サーバーの移行が不十分だったことも含まれている。
カスケード障害
プロジェクトの欠陥は複数あります。このレポートによると、2014 年の不完全なサーバー移行により、所有者がいない使用済みコードのライブラリが何千も残された可能性があります。後者の所有権は簡単に回復でき、マルウェアを注入することで、数千のアプリケーションに連鎖的かつ自動的に影響を及ぼした可能性があります。これに加えて、認証と安全でない電子メール検証の問題も発生し、悪意のあるユーザーが URL を不正なサーバーにリダイレクトする可能性がありました。
これらの欠陥により、クレジット カードの詳細や医療記録などの多くのユーザー データにアクセスできる可能性があります。その後、詐欺、恐喝、さらには産業スパイなどの用途を自由に想像できるようになります。これらのコードを使用している企業は、数多くの法的影響にさらされる可能性があります。
同社は安心してもらいたいと考えており、Cocoapods と非公式に連絡した後、これらの欠陥は昨年 10 月に修正されたことを示しました。ただし、EVA は開発者に対し、外部ライブラリのコードをチェックするようアドバイスしています。
さらに進むには
スマートフォン、タブレット、PC を保護するにはどうすればよいですか?究極のガイド!
Chiyoye 
Chiyoye