Seria nowo odkrytych luk w powszechnie używanym oprogramowaniu typu open source może oznaczać duże problemy dla większości ekosystemów iOS i macOS. Wspomniane błędy mogą wpłynąć na tysiące powszechnie używanych aplikacji, w tym popularne programy, takie jak TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger i wiele innych, zgodnie z raportem firmy. powiązane badania bezpieczeństwa. Podczas gdy same komponenty open source zostały załatane, zespoły DevOps dla dotkniętych aplikacji z pewnością starają się zapewnić, aby ich systemy były odpowiednio aktualizowane w celu ochrony użytkowników przed potencjalnymi atakami.
Luki zostały odkryte w Kokosymenedżer zależności szeroko stosowany w projektach oprogramowania kodowanych w językach programowania Swift i Objective-C. Menedżerowie zależności są niezbędnymi narzędziami w procesie tworzenia oprogramowania, umożliwiającymi walidację i kryptograficzne podpisywanie pakietów oprogramowania. Uszkodzenie takiego narzędzia ma oczywiście poważne (i złe) implikacje dla dużych części sieci.
Owady kokosowe odkryto przez badaczy z EVA Information Security, firmy zajmującej się cyberbezpieczeństwem i testowaniem penetracyjnym. Błędy są wynikiem wadliwej migracji serwera Cocoapods, która miała miejsce w 2014 r. i spowodowała „osieroconych” tysięcy pakietów oprogramowania. Ze względu na słabości bezpieczeństwa w systemie pakiety te mogły zostać łatwo skonfiskowane przez osobę nieuczciwą i (hipotetycznie) wykorzystane do przeprowadzenia ataków na łańcuch dostaw, które mogłyby wprowadzić złośliwe aktualizacje kodu do korporacyjnych projektów oprogramowania, które są od nich zależne. Badacze rozbijają sytuację w następujący sposób:
Proces migracji w 2014 r. pozostawił tysiące osieroconych pakietów (gdzie pierwotny właściciel jest nieznany), z których wiele jest nadal szeroko używanych w innych bibliotekach. Korzystając z publicznego interfejsu API i adresu e-mail, który był dostępny w kodzie źródłowym CocoaPods, atakujący mógłby rościć sobie prawo własności do dowolnego z tych pakietów, co pozwoliłoby atakującemu zastąpić oryginalny kod źródłowy własnym złośliwym kodem. Odkryte przez nas luki w zabezpieczeniach mogłyby zostać wykorzystane do przejęcia kontroli nad samym menedżerem zależności i wszelkimi opublikowanymi pakietami. Zależności niższego rzędu mogłyby oznaczać, że w ciągu ostatnich kilku lat ujawniono tysiące aplikacji i miliony urządzeń.
Wszystkie trzy błędy zostały już naprawione, ale ich powaga i fakt, że były widoczne przez dziewięć lat, z pewnością spędzają sen z powiek wielu zespołom programistycznym. Powodem, dla którego Apple jest w centrum tego bałaganu, jest to, że wiele aplikacji na iOS i macOS jest kodowanych przy użyciu obu Szybko mi Cel C języków, co czyni je szczególnie podatnymi na omawiane problemy. Naukowcy piszą, że błędy mogą wpłynąć na „tysiące” lub „miliony” aplikacji, a „atak na ekosystem aplikacji mobilnych może zainfekować niemal każde urządzenie Apple, narażając tysiące organizacji na katastrofalne szkody finansowe i reputacyjne”.
Naukowcy twierdzą, że nie widzieli jeszcze żadnych dowodów sugerujących, że aplikacje zostały faktycznie naruszone. Jednak gdyby niektóre zostały naruszone, mogłoby to oczywiście oznaczać duże kłopoty dla użytkowników. Naukowcy zauważają, że ponieważ wiele aplikacji może „uzyskać dostęp do najbardziej poufnych informacji użytkownika: danych karty kredytowej, dokumentacji medycznej, materiałów prywatnych”, cyberprzestępca mógłby wstrzyknąć kod do aplikacji za pośrednictwem naruszonych kontenerów, umożliwiając im „dostęp do tych informacji w niemal każdym możliwym złośliwym celu — ransomware, oszustwo, szantaż, szpiegostwo korporacyjne”.
Badacze zaapelowali do korporacyjnych deweloperów, aby przejrzeli swoje produkty i „zweryfikowali integralność zależności open source używanych w kodzie ich aplikacji”, zapewniając w ten sposób, że ich systemy i ich klienci nie zostaną narażeni na ataki.
O luki w zabezpieczeniach, które mogą pojawić się w oprogramowaniu typu open source są dobrze znane. Przemysł oprogramowania komercyjnego opiera się na wolnym oprogramowaniu, aby budować swoje komercyjne produkty, ale niewiele czasu poświęca się wzmacnianiu i ochronie ekosystemu wolnego oprogramowania, na którym zbudowany jest cały Internet. Końcowe wyniki, jak można było przewidzieć, nie są dobre.
Serwis Gizmodo zwrócił się do Apple z prośbą o komentarz i zaktualizuje ten artykuł, jeśli otrzyma odpowiedź.
