میلیونها اپلیکیشن iOS بهدلیل نقض امنیتی مخزن CocoaPods درمعرض خطر هستند
طبق گزارش شرکت امنیت اطلاعاتی EVA، میلیونها اپلیکیشن iOS و macOS درمعرض نوعی نقض امنیتی قرار دارند که هکرها میتوانند از آن برای حملههای Supply Chain Attack بهره ببرند. این آسیبپذیری در CocoaPods کشف شده است. CocoaPods مخزن کد منبعبازی است که بسیاری از اپلیکیشنهای محبوب توسعهیافته برای پلتفرمهای اپل از آن استفاده میکنند.
گفته میشود حدود ۳ میلیون اپلیکیشن iOS و macOS که با CocoaPods ساخته شدهاند، بهمدت تقریباً ۱۰ سال درمعرض خطر قرار داشتهاند. CocoaPods به توسعهدهندگان امکان میدهد تا کدهای متفرقه را ازطریق کتابخانههای متنباز بهراحتی با برنامههای خود ادغام کنند. هنگامیکه هر کتابخانهای بهروزرسانی شود، برنامههایی که از آن استفاده میکنند، بهطور خودکار جدیدترین بهروزرسانیها را دریافت میکنند.
شرکت امنیت اطلاعاتی EVA فاش کرد که نقض امنیتی شناساییشده در CocoaPods به مهاجمان اجازه میدهد تا به دادههای حساس اپلیکیشنها مانند اطلاعات کارت اعتباری و سوابق پزشکی و اطلاعات خصوصی دسترسی پیدا کنند. از این اطلاعات ممکن است برای اهداف مخرب ازجمله باجافزار و کلاهبرداری و جاسوسی از شرکتها سوءاستفاده شود.
آسیبپذیریهای کشفشده در CocoaPods به مکانیزم تأیید ایمیل ناامن برای احراز هویت توسعهدهندگان هر کتابخانه ارتباط دارد. برای مثال، مهاجم میتواند URL موجود در لینک تأیید را برای هدایت به سرور مخرب دستکاری کند. تیم CocoaPods از مدتی قبل برای اطمینان از رفع این آسیبپذیریها اقداماتی انجام داده است.
پس از اینکه محققان EVA دربارهی آسیبپذیری شناساییشده در CocoaPods بهطور خصوصی به توسعهدهندگان این پلتفرم اطلاع دادند، آنها تمام کلیدهای جلسات را پاک کردند تا مطمئن شوند که هیچکس بدون داشتن کنترل روی آدرس ایمیل ثبتشده، نمیتواند به حسابها دسترسی پیدا کند.
این اولینبار نیست که CocoaPods با مهاجمان مواجه میشود. در سال ۲۰۲۱، مسئولان این پروژه از مشکل امنیتی دیگری خبر دادند که امکان اجرای کد دلخواه را روی سرورهایی فراهم میکرد که مخازن CocoaPods را مدیریت میکنند. از این موضوع میتوانست برای جایگزینی بستههای موجود با نسخههای مخرب حاوی کدهایی سوءاستفاده شود که درنهایت در اپلیکیشنهای iOS و Mac گنجانده میشدند.
توصیهی محققان EVA به توسعهدهندگانی که از CocoaPods در اپلیکیشنهای خود استفاده میکنند، این است که همیشه اسکنهای امنیتی را برای شناسایی کدهای مخرب در تمام کتابخانههای متفرقه اجرا کنند.
بعضی از کاربران ویندوز بهدنیال روش های خاموش كردن آنتي ويروس ویندوز ۱۰ هستند، زیرا این سیستم امنیتی بومی گاهی برای آنها دستوپاگیر میشود.
فیزیکدانها برای اولین بار توانستند تصویری از حرکت اتمهای آزاد ثبت کنند. این مشاهده میتواند به درک بهتر آنها از برهمکنش اتمها کمک کند.
برای خرید تبلت مناسب، نیازی نیست حتماً پول زیادی پرداخت کنید. در راهنمای خرید پیش رو، بهترین تبلتهای بازار ایران را معرفی میکنیم.
تنوع زیاد هارد اکسترنال در بازار، انتخاب مدل مناسب را دشوار میکند. در این مقاله با بهترین هاردهای اکسترنال موجود در بازار ایران آشنا میشویم.
سخنگوی مرکز ملی فضای مجازی از پیگیری حقوقی اقدام اخیر گوگل در تحریف نام خلیج فارس خبر داد.
ساخت اپل آیدی یکی از اقدامات اولیه پس از خرید آیفون است، در ادامه آموزش رایگان گام به گام ساخت اپل آیدی را مشاهده میکنید.
DJI پهپاد جدید مویک ۴ پرو را با قابلیت تصویربرداری پیشرفتهتر و شارژدهی بالاتر رونمایی کرد.
-652d21c5eb21a6b54f515846?w=1920&q=75)
