近日,一项关于CocoaPods平台的安全研究引起了关注。 CocoaPods 作为一个开源的 Swift 和 Objective-C 项目仓库,其管理功能被众多 iOS 和 macOS APP 开发者所青睐。 然而,这一平台的安全漏洞可能会影响到超过 300万款 APP ,给用户的数码生活带来潜在风险。
据E.V.A信息安全研究团队的Reeef Spektor和Eran Vaknin透露,他们在CocoaPods中发现了一系列严重的安全漏洞。 具体来说,他们披露了三个关键的漏洞,分别是 CVE-2024-38368(CVSS分数9.3)、CVE-2024-38367(CVSS分数8.2)和CVE-2024-38366(CVSS分数10.0)。 其中,CVE-2024-38366的CVSS分数高达10.0,足以看出该漏洞的严重性。
CocoaPods 拥有超过 10 万个 pods,广泛 APP 于诸如 Instagram、X、Slack、Airbnb、Tinder 和 Uber 等知名 APP 。 其主要功能是帮助开发者简化库的管理和集成。 然而,由于其广泛的APP,这些安全漏洞的发现意味着大量APP可能面临被恶意代码攻击的风险。
E.V.A公司的首席执行官兼联合创始人Alon Boxiner表示:「这些漏洞的影响力非常大,难以准确统计受影响的 APP 数量。」 因此,对于开发者而言,他们需要密切关注相关漏洞的修复进展,并及时更新自己的APP以避免潜在的安全威胁。 对于用户来说,保持软件的最新状态,以及对来自未知来源的软件持谨慎态度,也是保护自己免受恶意攻击的重要措施。
