Apple kullanıcıları, Swift ve Objective-C projeleri için kod kütüphaneleri barındıran bir bağımlılık yöneticisi olan CocoaPods’ta kısa süre önce düzeltilen bir güvenlik açığı nedeniyle on yıldan fazla bir süre risk altında kalmış olabilir. Bir rapora göre, güvenlik araştırmacıları, tehdit aktörlerinin kötü amaçlı kod enjekte etmesine ve hassas kullanıcı verilerine erişmesine olanak tanıyan kritik bir sorun keşfetti ve bu durum üç milyondan fazla iOS ve macOS uygulamasını riske attı.
Apple Uygulamaları Risk Altında Siber güvenlik firması EVA Information Security araştırmacılarına göre, CocoaPods’ta tehdit aktörlerinin “pods” olarak bilinen sahipsiz paketlerin sahipliğini talep etmelerine olanak tanıyabilecek üç yeni keşfedilmiş güvenlik açığı bulundu. Bu açıkların, tehdit aktörlerinin iOS ve macOS platformları için uygulamalara kod enjekte etmelerini sağladığı bildiriliyor. Bu güvenlik açığının, 2014 yılında CocoaPods’un “trunk” sunucusunda gerçekleştirilen bir geçiş sürecinden sonra ortaya çıktığı belirtiliyor. Araştırmacılara göre, tehdit aktörleri CocoaPods’un kaynak kodunda mevcut olan bir API ve e-posta adresini kullanarak pod’ların sahipliğini talep edebilir ve orijinal kaynak kodunu kötü amaçlı kodlarıyla değiştirebilirler.
Araştırmacılar, başka bir güvenlik açığının e-posta doğrulama sürecini kullanarak sunucuda keyfi kod çalıştırmaya olanak tanıyabileceğini ve bu sayede tehdit aktörünün pod’ları manipüle edip değiştirebileceğini belirtti. Bu açıklar, milyonlarca iOS ve macOS uygulaması ile şifreler, kredi kartı bilgileri, tıbbi kayıtlar ve daha fazlası gibi hassas kullanıcı verilerini riske attı.
“Bu uygulamalara kod enjekte edilmesi, saldırganların bu bilgileri fidye yazılımı, dolandırıcılık, şantaj, kurumsal casusluk gibi neredeyse her türlü kötü amaçlı amaç için kullanmasına olanak tanıyabilir. Bu süreçte, şirketleri büyük yasal sorumluluklara ve itibar riskine maruz bırakabilir.” denildi. Araştırmacılar, bu güvenlik açıklarının Ekim 2023’te yamalandığını belirtti. CocoaPods’a bildirimde bulunduktan sonra tüm oturum anahtarlarının güvenli erişim sağlamak amacıyla silindiğini belirttiler.
Önceki Güvenlik Açıkları
Bu, CocoaPods’un güvenlik açıkları nedeniyle ilk kez inceleme altına alınışı değil. 2021’de, bağımlılık yöneticisinde yayımlanan kötü amaçlı bir paketin, uzaktan kod yürütme (RCE) sorunu nedeniyle tehdit aktörlerinin sunucularında keyfi kod çalıştırmasına izin verebileceği keşfedildi ve bu durum potansiyel olarak milyonlarca uygulamayı riske atıyordu. Bu güvenlik açığının 2015’ten beri var olduğu ve yalnızca 2021’de yamalandığı ortaya çıktı.
