كشف تقرير حديث أن العديد من مستخدمو أبل معرضون لخطر الاختراق لأكثر من عقد من الزمن بسبب ثغرة أمنية لم يتم اكتشافها وتم إصلاحها مؤخرًا في CocoaPods – وهو مدير التبعية الذي يستضيف مكتبات الأكواد لمشاريع Swift وObjective-C لتطوير التطبيقات لـ أبل.

ووفقًا لأحد التقارير، اكتشف الباحثون الأمنيون مشكلة حرجة كان من الممكن أن تسمح للجهات الفاعلة في مجال التهديد بإدخال تعليمات برمجية ضارة والوصول إلى بيانات المستخدم الحساسة، مما يعرض أكثر من 3 ملايين تطبيق iOS وmacOS للخطر.

تطبيقات أبل في خطر

ووفقًا للباحثين في شركة الأمن السيبراني EVA Information Security، تم العثور على ثلاث ثغرات أمنية لم يتم اكتشافها سابقًا في CocoaPods، والتي كان من الممكن أن تسمح للجهات الفاعلة في مجال التهديد بالمطالبة بملكية الحزم المعزولة، المعروفة باسم pods، ويقال إنها مكنتهم من إدخال التعليمات البرمجية في تطبيقات منصات iOS وmacOS – أنظمة التشغيل التي تستخدمها أجهزة iPhone وiPad من أبل، على التوالي.

وتم الإبلاغ عن أن مشكلة عدم الحصانة هذه قد نشأت في عام 2014 في خادم “الجذع” الخاص بـ CocoaPods، بعد عملية الترحيل، ووفقًا للباحثين، كان من الممكن أن تستخدم الجهات الفاعلة في التهديد واجهة برمجة التطبيقات (API) وعنوان البريد الإلكتروني – وكلاهما متاح في كود مصدر CocoaPods، للمطالبة بملكية البودات، واستبدال كود المصدر الأصلي الخاص بهم بالرمز الضار.

ويزعم الباحثون أن هناك ثغرة أمنية أخرى كانت ستمكن من استخدام عملية التحقق من البريد الإلكتروني لتشغيل تعليمات برمجية عشوائية على الخادم، مما يسمح لممثل التهديد بالتلاعب بالبودات واستبدالها، وتعرض عمليات الاستغلال الملايين من تطبيقات iOS وmacOS، إلى جانب بيانات المستخدم الحساسة مثل كلمات المرور وتفاصيل بطاقة الائتمان والسجلات الطبية والمزيد، للخطر.

وقال الباحثون: “إن إدخال التعليمات البرمجية في هذه التطبيقات يمكن أن يمكّن المهاجمين من الوصول إلى هذه المعلومات لأي غرض ضار تقريبًا يمكن تخيله – برامج الفدية والاحتيال والابتزاز والتجسس على الشركات… وفي هذه العملية، يمكن أن يعرض الشركات لمسؤوليات قانونية كبيرة ومخاطر تتعلق بالسمعة”.

ويزعم أيضًا أنه تم تصحيح الثغرات الأمنية في أكتوبر 2023، ويقول الباحثون إنهم أبلغوا CocoaPods بها، وبعد ذلك تم مسح جميع مفاتيح الجلسة لضمان الوصول الآمن إلى البودات.

نقاط الضعف السابقة

ليست هذه هي المرة الأولى التي تخضع فيها CocoaPods للتدقيق بسبب الثغرات الأمنية، في عام 2021، تم اكتشاف أن الحزمة الضارة المنشورة على مدير التبعية يمكن أن تسمح لجهات التهديد بتشغيل تعليمات برمجية عشوائية على خوادمها بسبب مشكلة في تنفيذ التعليمات البرمجية عن بعد (RCE)، مما قد يعرض ملايين التطبيقات للخطر.