Uzmanlar, öncelikli olarak iOS ve macOS uygulama geliştirmede kullanılan önemli bir aracın, milyonlarca iOS ve Mac uygulamasının tedarik zinciri saldırılarına açık hale gelmesine neden olacak şekilde savunmasız olduğu konusunda uyarı yayınladı.
Siber güvenlik araştırmacısı EVA Information Security; Swift ve Objective-C projeleri için CocoaPods adı verilen bir bağımlılık yöneticisinin, CocoaPod’ları yönetmek için kullanılan bir “trunk” sunucusunda üç güvenlik açığı taşıdığını belirtiyor.
Platformun pod geliştiricilerinin kimliğini doğrulamak için kullandığı doğrulama e-posta mekanizması, bu güvenlik açıklarından ilkine ev sahipliği yapıyor. Geliştiriciler, bir hesaba erişim kazanmak için podla ilişkili e-posta adresini girdikten sonra e-postasına bir bağlantı gönderiliyor. Ancak gönderilen bağlantıdaki URL, geliştiriciyi saldırganların kontrolü altındaki bir sunucuya yönlendirecek şekilde değiştirilebiliyor.
Bir diğer güvenlik açığı, geliştiriciler tarafından terk edilen ancak hala uygulamalarda kullanılan podların kötü amaçlı kişiler tarafından ele geçirmesine imkan tanıyor. Son güvenlik açığı ise, saldırganlara trunk sunucusunda kod çalıştırma yeteneği veriyor.
Platformda yer alan 100.000 civarındaki kütüphane yaklaşık 3 milyon mobil uygulama tarafından kullandığı için, bu açıklardan etkilenebilecek çok ciddi miktarda uygulama ve kullanıcı bulunuyor. Ayrıca, bir kütüphane değiştirildiğine, onu kullanan tüm uygulamalar otomatik olarak güncelleme yapacağı için, durum daha da tehlikeli bir hale geliyor.
Güvenlik açıkları Ekim 2023’te açıklandı ve neyse ki şu anda düzeltilmiş durumda. Açıklıklar keşfedildiği sırada, kötüye kullanılmış olduklarına dair herhangi bir kanıt bulunmuyordu. O yüzden şu anda geliştiricilerin veya kullanıcıların güvenliklerini sağlamak için herhangi bir şey yapması gerekmiyor.