iOS 운영체제를 공격하는 위험한 취약점에 대한 경고

이스라엘에 본사를 둔 사이버 보안 및 테스트 회사인 EVA Information Security는 Swift 및 Objective-C 프로그래밍 언어로 코딩된 소프트웨어 프로젝트에 널리 사용되는 종속성 관리자인 Cocoapods에서 버그를 발견했습니다.

종속성 관리자는 소프트웨어 개발에 중요한 도구로, 소프트웨어 패키지의 유효성 검사 및 암호화 서명을 지원합니다. 따라서 이러한 도구에 문제가 발생하면 소프트웨어 또는 웹의 여러 부분에 부정적인 영향을 미칠 수 있습니다.

EVA 정보 보안에 따르면, 이 문제는 2014년부터 존재했을 가능성이 있으며, Cocoapods 서버 마이그레이션 과정에서 오류가 발생하여 수천 개의 소프트웨어 라이브러리 패키지가 원본 소스 파일과 연결되지 않고 출처를 추적할 수 없게 된 데서 비롯된 것으로 보입니다. 이는 공격자가 원본 소스 코드를 자신의 악성 코드로 대체할 수 있는 허점입니다.

"시스템 보안의 허점으로 인해 이러한 패키지는 악의적인 해커에 의해 하이재킹되어 개발자용 소프트웨어 개발 도구에 맬웨어를 주입하는 데 사용될 수 있습니다. 오랫동안 탐지되지 않았기 때문에 수년간 수천 개의 애플리케이션과 수백만 대의 기기가 노출되었음을 의미합니다."라고 회사 관계자는 말했습니다.

많은 앱이 신용카드, 의료 기록, 개인 문서 등 민감한 사용자 정보에 접근할 수 있기 때문에 해커는 취약점을 악용하고 랜섬웨어나 다른 유형의 맬웨어를 설치하여 정보를 수집할 수 있습니다.

EVA 정보 보안은 대부분의 iOS 및 macOS 애플리케이션이 TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger 등 인기 있는 언어를 포함하여 Swift 및 Objective-C 언어로 코딩되어 있는 상황에서 Apple이 "혼란의 중심에" 있다고 생각합니다.

결과적으로 이러한 플랫폼의 수천 개 앱이 영향을 받을 수 있습니다. 모바일 앱 생태계에 대한 공격은 대부분의 Apple 기기를 감염시켜 수천 개의 조직이 재정적, 평판적으로 취약해질 수 있습니다.

Cocoapods가 해당 버그를 패치한 것으로 알려졌지만, 거의 10년 동안 발견되지 않았다는 점은 우려스러운 일입니다. EVA Information Security는 개발자에게 제품 소스 코드를 검토하여 소프트웨어의 취약성을 확인할 것을 권장합니다.

애플은 아직 이 소식에 대해 언급하지 않았습니다.