اكتشفت شركة EVA Information Security ثغرة أمنية كبيرة عمرها 10 سنوات في تطبيقات iOS وmacOS والتي كان من الممكن أن تسمح بسرقة العديد من بيانات المستخدم.
جاء ذلك في تقرير قدمهإيفا لأمن المعلوماتأننا نعلم أن ما يقرب من 3 مليون طلبا علىدائرة الرقابة الداخليةوآخرونماككان من الممكن أن يكون عرضة لمدة 10 سنوات لخرق أمني كبير. يقع الخطأ على عاتق مضيف التعليمات البرمجية مفتوح المصدر CocoaPods.
مشروع مفتوح المصدر
تقدم العديد من التطبيقات ميزات مشابهة تعمل بشكل غير مفاجئ مع تعليمات برمجية مماثلة. وبالتالي، يستخدم العديد من المطورين مكتبات التعليمات البرمجية مفتوحة المصدر لاستعادة هذه الوظائف الأساسية أو الوظائف المتقدمة خارج مهاراتهم. هذا هو المكان الذي يأتي فيه Cocoapods.
تتيح لك هذه الخدمة، التي تم إطلاقها في عام 2011، العثور على مكتبات "pods" حيث يمكنك الحصول على الكود. عندما تقوم بالتحديث، تقوم التطبيقات التي تستخدم الكود الخاص بها بتحديث نفسها تلقائيًا. تعود العيوب التي أشارت إليها EVA Information Security إلى عام 2014 وتتضمن ترحيلًا سيئًا للخادم.
خطأ المتتالية
والعيوب في المشروع متعددة. يخبرنا التقرير أن هذا الترحيل غير المكتمل للخادم في عام 2014 كان من شأنه أن يترك آلاف المكتبات من التعليمات البرمجية المستخدمة بدون مالكين. كان من الممكن استرداد ملكية هذا الأخير بسهولة، ومن خلال حقن برامج ضارة فيه، كان له تداعيات في سلسلة وتلقائيًا على آلاف التطبيقات. تمت إضافة إلى ذلك أيضًا مشكلة في المصادقة والتحقق غير الآمن من البريد الإلكتروني مما يسمح للأشخاص الضارين بإعادة توجيه عنوان URL إلى خوادم سيئة.
من الممكن أن تكون هذه العيوب قد سمحت للأشخاص بالوصول إلى الكثير من بيانات المستخدم مثل تفاصيل بطاقتك الائتمانية أو سجلاتك الطبية. ويكون لهم بعد ذلك الحرية في تصور استخدامات مثل الاحتيال أو الابتزاز أو حتى التجسس الصناعي. تتعرض الشركات التي تستخدم هذه الأجزاء من التعليمات البرمجية إلى العديد من التداعيات القانونية.
تريد الشركة أن تكون مطمئنة وتشير بعد تواصلها بشكل خاص مع Cocoapods إلى أنه تم تصحيح هذه العيوب في أكتوبر الماضي. ومع ذلك، تنصح EVA المطورين بالتحقق من كود مكتباتهم الخارجية.
للذهاب أبعد من ذلك
كيف تقوم بتأمين هاتفك الذكي أو جهازك اللوحي أو الكمبيوتر الشخصي؟ الدليل النهائي!
