Apple cihazları, üç kritik güvenlik açığının neredeyse on yıldır fark edilmemesinin ardından tedarik zinciri saldırılarına karşı savunmasız hale gelebilir. Yeni bir araştırma, dünyadaki hemen hemen her Apple cihazının, bağımlılık yöneticisi CocoaPods aracılığıyla bir dizi kritik güvenlik açığına maruz kaldığını ortaya koydu.
Apple CocoaPods için önlem almalı
CocoaPods, Apple geliştiricilerinin harici kütüphaneleri yönetmek için kullandığı, Swift ve Objective-C için popüler bir açık kaynaklı bağımlılık yöneticisidir ve üç milyondan fazla mobil uygulamada yaklaşık 100.000 kütüphane kullanılmaktadır. EVA Bilgi Güvenliği, CocoaPods’ta bir saldırganın potansiyel olarak binlerce sahipsiz pod’un mülkiyetini iddia etmesine ve hizmetin ana sunucuda keyfi kod çalıştırmasına olanak tanıyabilecek çeşitli güvenlik açıkları bulduğunu açıkladı.
ABD’de hizmet veren HealthEquity bir paydaşın kişisel cihazından ‘anormal davranış’ tespit ettikten sonra tehlikeyi tespit ettiğini ve olayla ilgili bir soruşturma başlattığını söylüyor. Soruşturma, ilgili paydaşın ele geçirilen hesabından yararlanarak…
Yapılan araştırmaya göre, söz konusu açıklar 2014 yılında ortaya çıkmış ve ancak Ekim 2023’te yamalanarak, dokuz yıl boyunca istismar edilmeyi bekleyerek gizli kalmış. Bu güvenlik açıklarından ilki, 2014 yılında yeni bir trunk sunucusuna yapılan geçiş sırasında binlerce yetim paketin kalmasıyla ortaya çıktı. Bu da orijinal sahibinin bilinmediği anlamına geliyor; ancak bunların birçoğu hala diğer kütüphanelerde kullanılıyor.
Bu, saldırganların herhangi bir doğrulamaya gerek kalmadan genel bir API kullanarak pod’ları ele geçirebileceği anlamına geliyordu; yaklaşık 2.000 pod hala sahipleri tarafından talep edilmemiş ve tehdit aktörleri tarafından talep edilmeyi bekliyordu. EVA ekibi, bu kapsüllerin kötü amaçlı kodlarla enjekte edilebileceği ve dünya çapında milyonlarca iOS ve macOS cihazını tehlikeye atabilecek tedarik zinciri saldırılarında kullanılabileceği konusunda uyardı.
CVSS’de 9.3 olarak belirlenen CVE-2024-38368 numaralı bu kusur, saldırganların herhangi bir pod’daki tüm sahipleri kaldırmasına ve bunların kötü niyetli kişiler tarafından talep edilmesine olanak tanıyordu. EVA’nın işaretlediği ikinci güvenlik açığı olan CVE-2024-38367 , CocoaPods’un kimlik doğrulama sürecindeki bir açığı kullanarak saldırganların doğrulama sürecini manipüle ederek CocoaPods ana hesabının tamamını ele geçirmesine olanak tanıyan bir oturum ele geçirme kusuru.
EVA’nın araştırmasında, CocoaPods’un yeni cihazları e-posta yoluyla doğruladığı, kullanıcının yalnızca bir bağlantıya tıklayarak e-posta adresini doğrulamasını gerektirdiği belirtiliyor. Ancak raporda bu işlevin kolayca ele geçirilebileceği uyarısı yapılıyor.
Apple CocoaPods nedeniyle savunmasız kaldı! yazısı ilk önce TechInside üzerinde ortaya çıktı.