이스라엘에 본사를 둔 사이버 보안 및 테스트 회사인 EVA Information Security는 Swift 및 Objective-C 프로그래밍 언어로 코딩된 소프트웨어 프로젝트에 널리 사용되는 종속성 관리자인 Cocoapods에서 버그를 발견했습니다.

종속성 관리자는 소프트웨어 패키지의 인증 및 암호화 서명을 가능하게 하여 소프트웨어 개발 과정에서 중요한 도구입니다. 따라서 이러한 도구에 문제가 발생하면 소프트웨어나 웹의 많은 부분에 부정적인 영향을 미치게 됩니다.

EVA 정보 보안에 따르면, 이 문제는 2014년부터 존재했을 수 있으며, Cocoapods 서버 마이그레이션이 잘못되어 수천 개의 소프트웨어 라이브러리 패키지가 더 이상 원래 소스 파일에 연결되지 않고 출처를 추적할 수 없게 된 결과입니다. 이는 공격자가 원래 소스 코드를 자신의 악성 코드로 바꿔치기할 수 있는 허점입니다.

"시스템 보안의 허점으로 인해 이러한 패키지는 악의적인 해커에 의해 하이재킹되어 개발자용 소프트웨어 개발 도구에 맬웨어를 주입하는 데 사용될 수 있습니다. 오랫동안 탐지되지 않았기 때문에 수년간 수천 개의 애플리케이션과 수백만 대의 기기가 노출되었음을 의미합니다."라고 회사 관계자는 말했습니다.

많은 앱이 신용카드, 의료 기록, 개인 문서 등 민감한 사용자 정보에 접근할 수 있기 때문에 해커는 취약점을 악용하고 랜섬웨어나 다른 유형의 맬웨어를 설치하여 정보를 수집할 수 있습니다.

EVA 정보 보안은 대부분의 iOS 및 macOS 애플리케이션이 TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger 등 인기 있는 언어를 포함하여 Swift 및 Objective-C 언어로 코딩되어 있는 상황에서 Apple이 "혼란의 중심에" 있다고 생각합니다.

결과적으로 이러한 플랫폼의 수천 개 앱이 영향을 받을 수 있습니다. 모바일 앱 생태계에 대한 공격은 대부분의 Apple 기기를 감염시켜 수천 개의 조직이 재정적, 평판적으로 취약해질 수 있습니다.

이 버그는 Cocoapods에 의해 패치되었다고 알려졌지만, 거의 10년 동안 발견되지 않았다는 사실은 우려를 불러일으킵니다. EVA 정보 보안에서는 개발자가 소프트웨어에 버그가 있는지 확인하기 위해 제품 소스 코드를 검토할 것을 권장합니다.

애플은 아직 이 소식에 대해 언급하지 않았습니다.