Aj keď si spoločnosť Apple vždy potrpela na maximálnu bezpečnosť svojich používateľov, aj na jej platformách sa z času na čas objavia chyby, ktoré sú veľmi nebezpečné. Ako informuje 9to5mac, technologický gigant sa nedávno musel vysporiadať s problémom, ktorý sa dotýka miliónov aplikácií dostupných pre operačné systémy iOS a iPadOS. Chyba mohla byť zneužívaná neuveriteľných 10 rokov!
Celý problém súvisí s nástrojom pre vývojárov s názvom CocoaPods. Ide o open-source úložisko, na ktoré sa spoliehajú mnohé populárne aplikácie určené pre Apple zariadenia. Výskumná spoločnosť EVA Information Security odhalila, že exploit ktorý bol v CocoaPods prítomný až desať rokov otváral útočníkom prístup k najrôznejším citlivým údajom, ako sú kreditné karty, zdravotné záznamy a iné súkromné informácie, ktoré si chce prirodzene každý chrániť. Tieto dáta mohli byť zneužité na rôzne nekalé účely.
Aj keď ste o CocoaPods pravdepodobne nikdy nepočuli, v praxi ide obľúbený nástroj medzi vývojármi, pretože uľahčuje integráciu kódu tretích strán do aplikácií za pomoci knižníc s otvoreným zdrojovým kódom.
Akonáhle je knižnica aktualizovaná, aplikácie, ktoré sa na ňu spoliehajú získajú automaticky najnovšie funkcie, ktoré do nej pribudli. Tento systém je však dvojsečnou zbraňou, pretože zraniteľnosti v knižniciach sa môžu rýchlo preniesť na všetky aplikácie, ktoré ich využívajú.
Chyba bola odstránená. CocoaPods mal ale problémy aj v minulosti
Najnovšia zraniteľnosť mala priamy súvis s mechanizmom overovania e-mailov, ktorý nebol dostatočne zabezpečený a využíval sa na autentifikáciu vývojárov jednotlivých modulov (knižníc). Pokiaľ sa do tohto systému dostal hacker, pomerne jednoduchým spôsobom dokázal upraviť URL adresu v overovacom odkaze. Vo výsledku tak mohla smerovať na nebezpečný server.
Výskumníci celú záležitosť komunikovali aj s tímom, ktorý je za CocoaPods zodpovedný. Ten urýchlene reagoval a postúpil všetky potrebné kroky, aby ku podobným hackerským útokom už nemohlo dochádzať.
V tomto bode je dôležité pripomenúť, že nejde o prvý incident súvisiaci s CocoaPods, ktorý čelí kybernetickým útokom. Už v roku 2021 bola potvrdená bezpečnostná chyba, ktorá umožňovala spúšťanie ľubovoľného kódu na serveroch spravujúcich úložisko.
Výskumníci z EVA odporúčajú všetkým vývojárom, ktorí používajú CocoaPods, aby pravidelne kontrolovali systémy a spúšťali bezpečnostné skeny na detekciu škodlivého kódu v externých knižniciach.
Hľadáte nové Apple zariadenie? Skontrolujte náš SvetApple bazár, v ktorom nájdete viac ako 600 inzerátov na rôzne Apple produkty. Tie sem môžete pridať úplne zadarmo kliknutím na tento odkaz.