开源 Swift 与 Objective-C 资源库CocoaPods遭揭露存在多个漏洞,这些漏洞让数百万 iOS 和 macOS 应用程序长期暴露于潜在攻击风险,直至近日才获得修补。 尽管CocoaPods资源库长期以来成为潜在攻击目标,但目前并未发现有任何iOS或macOS应用程序遭受利用。
漏洞修补详情揭示
这些漏洞于去年十月修补,并在EVA Information Security的报告中揭露。 《Ars Technica》详细报道了这些漏洞的问题及其可能被利用的方式,指出若有恶意攻击者成功利用这些漏洞,可能导致严重问题。 虽然目前尚无证据表明这些漏洞已被利用,但不能排除其已被秘密利用的可能性。
CocoaPods 的三大漏洞
CocoaPods 是一个为 Swift 和 Objective-C 项目提供资源包的库,存在三个关键漏洞,均与开发者管理资源包的登录方式相关。 这些漏洞包括:操控验证链接指向恶意服务器(CVE-2024-38367)、控制被遗弃的资源包(CVE-2024-38368)、在服务器上执行任意代码(CVE-2024-38366)。 这些漏洞可能使攻击者影响使用CocoaPods的数百万应用程式。
漏洞利用方式及潜在风险
理论上,攻击者可以操控资源包,使其在每个使用该资源包的应用程序中自动更新,并执行恶意指令。 如果该资源包有权访问敏感用户信息,如密码或信用卡数据,这些信息可能会落入攻击者手中。
CocoaPods 维护者 Orta Therox 解释,能在服务器上执行任意命令的攻击者可以读取环境变量,进而修改 CocoaPods/Specs 数据库并读取主干数据库。 诱使用户点击指向第三方网站的链接,则可能窃取会话密钥。 他强调,无法保证这些事件未曾发生,但为安全起见,仍应谨慎对待。
开发者应对措施
对于在去年十月前使用CocoaPods的开发者,应确保系统安全性。 虽然目前没有证据显示这些漏洞曾被利用,但这并不意味着完全安全。 若资源包被修改并用于收集敏感数据或感染设备,这些行为可能未被察觉。
目前这些漏洞已修补,旧的会话密钥也已被清除。 未来与这些漏洞相关的问题应该不再发生。 用户应确保设备与应用保持最新,并持续监控账户异常活动,以确保安全。
