3 milyon iPhone uygulamasında güvenlik açığı keşfedildi! 10 yıldır fark edilmemiş

EVA Information Security tarafından ortaya çıkarılan yeni bir güvenlik açığı, milyonlarca iOS ve macOS uygulamasını riske attı. Kritik güvenlik açığı, pek çok popüler uygulamanın temelinde yer alan açık kaynak kütüphanesi CocoaPods'ta bulundu.

IOS GÜVENLİK AÇIĞINA YOL AÇAN COCOAPODS NEDİR?

CocoaPods, geliştiricilere üçüncü taraf kodlarını uygulamalarına hızlı ve kolay bir şekilde entegre etme imkanı sunan bir platform olarak biliniyor. Bu platformda keşfedilen zafiyet ise yaklaşık 3 milyon iOS ve macOS uygulamasını tehlikeye atmış durumda bulunuyor.

EVA Information Security'nin paylaştığı bilgiye göre açık, saldırganların kredi kartı bilgileri, tıbbi kayıtlar ve hatta özel materyaller gibi hassas uygulama verilerine erişmesine yol açıyor.

Bu verilerin ise fidye yazılımı, dolandırıcılık, şantaj ve kurumsal casusluk gibi birçok kötü niyetli amaç için kullanılabileceği bilgisi paylaşılıyor.

ShiftDelete.Net'in aktardığına göre, bireysel kütüphane geliştiricilerini doğrulamak için kullanılan güvensiz bir e-posta doğrulama mekanizması ile ilgiliydi. Örneğin bir saldırgan, doğrulama bağlantısındaki URL’yi kötü niyetli bir sunucuya yönlendirebilir. CocoaPods ekibi, bu açıkların düzeltilmesi için adımlar attı.

EVA araştırmacıları, güvenlik açığını CocoaPods geliştiricilerine özel olarak bildirdikten sonra tüm oturum anahtarlarını temizleyerek, kimsenin kayıtlı e-posta adresine sahip olmadan hesaplara erişememesini sağladı.

IPHONE KULLANICILARI GÜVENLİK AÇIĞINDAN NASIL KORUNUR?

Güvenlik açığından korunmak için kullanıcıların yapabileceği bir şey yok. Araştırmacılara göre CocoaPods kullanan geliştiricilerin, CocoaPods kütüphanelerini gözden geçirmesi ve tüm dış kütüphanelerde kötü niyetli kod tespit etmek için güvenlik taramaları yapması gerekiyor.