ArsTechnica tarafından dün yayımlanan bir haber, Apple kullanıcılarını yakından ilgilendiren endişe verici bir güvenlik açığını gözler önüne serdi. Açık, siber güvenlik araştırmaları firması EVA Information Security’nin yaptığı bir araştırmayla ortaya çıkarıldı.
Gelen bilgilere göre açık, milyonlarca iOS ve macOS uygulamaları olası tedarik zinciri saldırıları için kullanılabilecek bir güvenlik ihlaliydi. Geçen yılın ekim ayında düzeltildiği aktarılsa da 2014’ten beri, yani 9 yıl açık kaldığı bildirildi.
3 milyon uygulamanın etkilendiği düşünülüyor
Güvenlik ihlali, Apple platformları için geliştirilen birçok popüler uygulama tarafından kullanılan açık kaynaklı bir havuz olan CocoaPods’ta bulundu. Açığın; Tiktok’tan Snapchat’e, LinkedIn’den Netflix’e, Facebook’tan Microsoft Teams’e kadar onlarca büyük uygulamayı tehdit edebileceği ifade edildi.
Rapora göre CocoaPods ile oluşturulmuş 3 milyon civarında iOS ve macOS uygulaması neredeyse 10 yıl savunmasız kalmış. CocoaPods’un, geliştiricilerin açık kaynaklı kütüphaneler aracılığıyla üçüncü taraf kodlarını uygulamalarına entegre etmelerini kolaylaştırdığını belirtelim.
EVA Information, bu açığın saldırganların kredi kartı bilgileri, tıbbi kayıtlar ve diğer hassas uygulama verilerine erişmesine neden olabileceğini söylerken verilerin dolandırıcılıktan fidye yazılımına kadar birçok kötü amaç için kullanılabileceğini de eklemiş.
Güvenlik açıkları, geliştiricilerin kullandığı bir e-posta doğrulamam mekanizmasıyla alakalıymış. Örneğin bir saldırgan, doğrulama bağlantılarındaki URL’leri kötü amaçlı sunuculara yönlendirebilecek bir şekilde değiştirilebilirmiş. CocoaPods ekibi, gerekli bilgileri aldıktan sonra gerekli adımları atmış. Herhangi bir saldırının yaşanıp yaşanmadığı konusunda bir bilgi yok.