iOSオペレーティングシステムを攻撃する危険な脆弱性に関する警告

イスラエルに拠点を置くサイバーセキュリティおよびテスト企業であるEVA Information Securityは、SwiftおよびObjective-Cプログラミング言語でコーディングされたソフトウェアプロジェクトで広く使用されている依存関係マネージャーであるCocoapodsにバグを発見しました。

Dependency Managerはソフトウェア開発において重要なツールであり、ソフトウェアパッケージの検証と暗号署名を可能にします。そのため、このツールに問題が発生すると、ソフトウェアやWebの多くの部分に悪影響を及ぼす可能性があります。

EVA Information Securityによると、この問題は2014年から存在していた可能性があり、Cocoapodsのサーバー移行の失敗により、数千ものソフトウェアライブラリパッケージが元のソースファイルへのリンクを失い、その出所を追跡できなくなったことが原因です。これは、攻撃者が元のソースコードを独自の悪意のあるコードに置き換えることを可能にする抜け穴です。

「システムセキュリティ上の欠陥により、これらのパッケージは悪意のある人物に乗っ取られ、開発者向けソフトウェア開発ツールにマルウェアを注入するために使用される可能性があります。これらのパッケージは長い間検出されなかったため、長年にわたり数千ものアプリケーションと数百万台のデバイスが危険にさらされてきました」と、同社の担当者は述べた。

多くのアプリはクレジットカード、 医療記録、個人文書などの機密性の高いユーザー情報にアクセスできるため、ハッカーは脆弱性を悪用し、ランサムウェアやその他の種類のマルウェアをインストールして情報を収集する可能性があります。

EVA Information Securityは、TikTok、Snapchat、LinkedIn、Netflix、Microsoft Teams、Facebook、Messengerなどの人気アプリを含むほとんどのiOSおよびmacOSアプリケーションがSwiftおよびObjective-C言語でコーディングされていることから、Appleが「混乱の中心にいる」と考えています。

その結果、これらのプラットフォーム上の数千ものアプリが影響を受ける可能性があります。モバイルアプリエコシステムへの攻撃は、ほとんどのAppleデバイスに感染し、数千もの組織が財務的および評判的に脆弱な状態に陥る可能性があります。

これらのバグはCocoapodsによって修正されたと報告されていますが、10年近くも発見されなかったという事実は懸念材料です。EVA Information Securityは、開発者に対し、自社製品のソースコードを確認し、ソフトウェアに脆弱性がないか確認することを推奨しています。

アップルはこのニュースについてまだコメントしていない。