اكتشفت شركة الأمن السيبراني والاختبار EVA Information Security، ومقرها إسرائيل، خللًا في Cocoapods، وهو مدير تبعيات يستخدم على نطاق واسع لمشاريع البرامج المشفرة بلغات البرمجة Swift و Objective-C.

يعد Dependency Manager أداة مهمة في عملية تطوير البرامج، حيث يسمح بالمصادقة والتوقيع التشفيري لحزم البرامج. لذلك، فإن أي مشكلة مع هذه الأداة من شأنها أن تؤثر سلبًا على العديد من أجزاء البرنامج أو الويب.

وفقًا لشركة EVA Information Security، ربما كانت المشكلة موجودة منذ عام 2014، نتيجة لهجرة خادم Cocoapods الفاشلة التي أدت إلى عدم ربط آلاف حزم مكتبات البرامج بملفات المصدر الأصلية الخاصة بها وعدم القدرة على تتبعها إلى مصدرها. هذه ثغرة تسمح للمهاجمين باستبدال الكود المصدر الأصلي بالكود الخبيث الخاص بهم.

بسبب ثغرات أمنية في النظام، يُمكن للمجرمين اختراق هذه الحزم واستخدامها لزرع برمجيات خبيثة في أدوات تطوير البرمجيات المخصصة للمطورين. ولأنها لم تُكتشف لفترة طويلة، فهذا يعني أن آلاف التطبيقات وملايين الأجهزة قد تعرضت للخطر على مر السنين، كما صرح ممثل الشركة.

مع قدرة العديد من التطبيقات على الوصول إلى معلومات المستخدم الحساسة مثل بطاقات الائتمان والسجلات الطبية والمستندات الخاصة، يمكن للمتسللين استغلال الثغرات الأمنية أو تثبيت برامج الفدية أو أنواع أخرى من البرامج الضارة لجمعها.

تعتقد شركة EVA Information Security أن شركة Apple "في مركز الفوضى" عندما يتم برمجة معظم تطبيقات iOS وmacOS بلغات Swift و Objective-C، بما في ذلك الأسماء الشهيرة مثل TikTok و Snapchat و LinkedIn و Netflix و Microsoft Teams و Facebook و Messenger.

ونتيجة لذلك، قد تتأثر آلاف التطبيقات على هذه المنصات. قد يؤدي الهجوم على نظام تطبيقات الهاتف المحمول إلى إصابة معظم أجهزة Apple، مما يجعل آلاف المؤسسات عرضة للخطر ماليًا وسمعيًا.

وتشير التقارير إلى أن هذه الأخطاء قد تم إصلاحها بواسطة شركة Cocoapods، ولكن حقيقة أنها لم يتم اكتشافها لمدة تقرب من عقد من الزمان أمر يدعو للقلق. توصي شركة EVA Information Security المطورين بمراجعة كود مصدر منتجهم لتحديد ما إذا كان البرنامج عرضة للأخطاء.

ولم تعلق شركة أبل على الخبر حتى الآن.