開源 Swift 和 Objective- C 資源包管理庫 CocoaPods 近日曝出多個嚴重的安全漏洞。由於大量 iOS 和 macOS 應用程式都使用了 CocoaPods 管理第三方庫依賴,這意味著數百萬應用程式長期面臨潛在的攻擊風險,直到最近才得到修補。
漏洞詳情
這些漏洞去年 10 月份就已被發現並修復,近期由 EVA Information Security 的報告完整披露。科技媒體 Ars Technica 深入報導了漏洞細節及其可能被利用的方式,指出一旦被惡意攻擊者利用,將導致嚴重後果。儘管目前沒有證據顯示這些漏洞遭到實際利用,但不能完全排除它們被暗中利用的可能性。
三大核心漏洞
CocoaPods 作為 Swift 和 Objective- C 項目的資源包管理庫,存在三個與開發者管理資源包註冊流程相關的核心漏洞:
1. 可操縱認證鏈接指向惡意伺服器(CVE-2024-38367)
2. 可控制被遺棄的資源包(CVE-2024-38368)
3. 可在伺服器上執行任意代碼(CVE-2024-38366)
這些漏洞可能使攻擊者影響使用 CocoaPods 的數百萬應用程式。
利用方式及風險
理論上,攻擊者可以操縱資源包,使其在整合該資源包的每一個應用程式中自動更新並執行惡意指令。如果該資源包擁有訪問敏感使用者資訊 (如密碼或信用卡數據) 的權限,這些資訊可能會被攻擊者獲取。
CocoaPods 維護者 Orta Therox 解釋說,能在伺服器上執行任意命令的攻擊者可以讀取環境變數,進而修改 CocoaPods/Specs 數據庫並讀取主數據庫。誘使用戶點擊指向第三方站點的鏈接,則可能竊取會話密鑰。他強調雖然無法確認這些事件曾經發生,但為了安全仍應該謹慎對待。
開發者應對措施
對於在去年 10 月之前使用 CocoaPods 的開發者來說,應當確保系統和應用程式的安全性。儘管目前沒有證據顯示這些漏洞曾被利用,但這並不意味著完全安全。如果資源包被修改並用於收集敏感數據或感染設備,這些行為可能一直未被查覺。
目前相關漏洞已經得到修補,舊的會話密鑰也已被清除。未來此類相關的問題理應不會再次發生。使用者應確保設備與應用程式保持最新狀態,並持續監控帳戶異常活動,以確保安全。
此次事件再次敲響了警鐘,提醒開發者和使用者對開源庫的安全與可靠性保持高度重視和警惕。只有如此,我們才能真正避免系統性的安全隱患,保護個人隱私和數據安全。