บริษัท EVA Information Security ซึ่งเป็นบริษัททดสอบและรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล ได้ค้นพบจุดบกพร่องใน Cocoapods ซึ่งเป็นตัวจัดการการอ้างอิงที่ใช้กันอย่างแพร่หลายสำหรับโปรเจ็กต์ซอฟต์แวร์ที่เขียนโค้ดด้วยภาษาการเขียนโปรแกรม Swift และ Objective-C
Dependency Manager เป็นเครื่องมือสำคัญในกระบวนการพัฒนาซอฟต์แวร์ ช่วยให้สามารถพิสูจน์ตัวตนและลงนามเข้ารหัสของแพ็คเกจซอฟต์แวร์ได้ ดังนั้น ปัญหาที่เกิดกับเครื่องมือดังกล่าวอาจส่งผลเสียต่อซอฟต์แวร์หรือเว็บหลายส่วน
ตามข้อมูลของ EVA Information Security ปัญหาดังกล่าวอาจมีมาตั้งแต่ปี 2014 อันเป็นผลจากการย้ายเซิร์ฟเวอร์ Cocoapods ที่ล้มเหลว ส่งผลให้แพ็คเกจไลบรารีซอฟต์แวร์หลายพันรายการไม่เชื่อมโยงกับไฟล์ต้นฉบับอีกต่อไป และไม่สามารถติดตามกลับไปยังต้นฉบับได้ นี่คือช่องโหว่ที่ทำให้ผู้โจมตีสามารถแทนที่โค้ดต้นฉบับด้วยโค้ดที่เป็นอันตรายของตนเองได้
“เนื่องจากข้อบกพร่องด้านความปลอดภัยของระบบ แพ็คเกจเหล่านี้จึงสามารถถูกแฮ็กโดยผู้ไม่ประสงค์ดีและนำไปใช้เพื่อฉีดมัลแวร์ลงในเครื่องมือพัฒนาซอฟต์แวร์สำหรับนักพัฒนา เนื่องจากไม่มีการตรวจพบเป็นเวลานาน นั่นหมายความว่าแอพพลิเคชั่นนับพันและอุปกรณ์หลายล้านเครื่องถูกเปิดเผยตลอดหลายปีที่ผ่านมา” ตัวแทนของบริษัทกล่าว
เนื่องจากแอปต่างๆ จำนวนมากมีสิทธิ์เข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อน เช่น บัตรเครดิต บันทึกทางการแพทย์ เอกสารส่วนตัว แฮกเกอร์จึงสามารถใช้ประโยชน์จากช่องโหว่ ติดตั้งแรนซัมแวร์หรือมัลแวร์ประเภทอื่นๆ เพื่อรวบรวมข้อมูลเหล่านี้ได้
EVA Information Security เชื่อว่า Apple เป็น "ศูนย์กลางของความยุ่งวุ่นวาย" เมื่อแอปพลิเคชัน iOS และ macOS ส่วนใหญ่ถูกเขียนโค้ดด้วยภาษา Swift และ Objective-C รวมถึงชื่อยอดนิยมเช่น TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger
ส่งผลให้แอปนับพันแอปบนแพลตฟอร์มเหล่านี้อาจได้รับผลกระทบ การโจมตีระบบนิเวศของแอปมือถือสามารถแพร่ระบาดไปยังอุปกรณ์ Apple ส่วนใหญ่ ส่งผลให้องค์กรหลายพันแห่งเสี่ยงทั้งทางการเงินและชื่อเสียง
มีรายงานว่า Cocoapods ได้แก้ไขข้อบกพร่องเหล่านี้แล้ว แต่ข้อเท็จจริงที่ว่าพวกมันไม่ได้รับการค้นพบมานานเกือบสิบปี ถือเป็นสาเหตุให้เกิดความกังวล EVA Information Security ขอแนะนำให้ผู้พัฒนาตรวจสอบโค้ดต้นฉบับของผลิตภัณฑ์เพื่อพิจารณาว่าซอฟต์แวร์มีความเสี่ยงต่อจุดบกพร่องหรือไม่
Apple ยังไม่ได้แสดงความคิดเห็นต่อข่าวดังกล่าว
ที่มา: https://kinhtedothi.vn/canh-bao-lo-hong-nguy-hiem-tan-cong-he-dieu-hanh-ios.html
การแสดงความคิดเห็น (0)