EVA Information Securityの調査に基づくArsTechnicaのレポートによると、数百万ものiOSおよびmacOSアプリが、サプライチェーン攻撃に悪用される可能性のあるセキュリティ侵害にさらされているという。この脆弱性は、Appleプラットフォーム向けに開発された多くの人気アプリで使用されているオープンソースリポジトリ「CocoaPods」で発見された。
CocoaPods で発見された脆弱性は iOS および macOS アプリに影響
報告書によると、CocoaPodsで構築されたiOSおよびmacOSアプリ約300万件が、約10年間にわたって脆弱性を抱えていたとのことです。CocoaPodsをご存じない方のために説明すると、CocoaPodsは、開発者がオープンソースライブラリを通じてサードパーティのコードをアプリに簡単に統合できるようにします。ライブラリが更新されると、それを使用しているアプリは自動的に最新のアップデートを受け取ります。
EVA Information Securityは、この脆弱性を悪用することで、攻撃者がクレジットカード情報、医療記録、個人情報といったアプリの機密データにアクセスできるようになると明らかにしました。これらのデータは、ランサムウェア、詐欺、脅迫、企業スパイなど、様々な悪意ある目的に利用される可能性があります。
これらの脆弱性は、個々のポッド(ライブラリ)の開発者認証に使用されている安全でないメール認証メカニズムに関連していました。例えば、攻撃者は認証リンクのURLを不正に操作して、悪意のあるサーバーに誘導する可能性があります。CocoaPodsチームは、これらの脆弱性を修正するための対策を既に講じています。
EVA の研究者は、CocoaPods の開発者にこの脆弱性を非公開で通知した後、登録された電子メール アドレスを制御できない限り誰もアカウントにアクセスできないようにするために、すべてのセッション キーを消去しました。
CocoaPodsのメンテナーは、古い孤立したPodを復旧するための新しい手順も追加しました。この手順では、メンテナーに直接連絡する必要があります。この時点で、作者は依存関係の1つを引き継ぐために、CocoaPodsの会社に連絡する必要があります。
CocoaPodsが攻撃者の標的になったのは今回が初めてではありません。2021年、プロジェクトのメンテナーは、CocoaPodsリポジトリを管理するサーバー上で任意のコードを実行できるセキュリティ上の問題を確認しました。この問題は、既存のパッケージを悪意のあるバージョンに置き換え、最終的にiOSやMacアプリに組み込む可能性のあるコードに置き換えることに利用される可能性があります。
EVA の研究者は、アプリで CocoaPods を使用する開発者に対し、常に CocoaPods の依存関係を確認し、セキュリティ スキャンを実行してすべての外部ライブラリ内の悪意のあるコードを検出するようアドバイスしています。
こちらもご覧ください
- セキュリティバイト:iOS 18のおすすめプライバシー機能ランキング
- Apple、AirPodsの最新ソフトウェアアップデートの新機能を発表
- Appleの位置情報サービスの脆弱性により、軍隊の動きを追跡される可能性がある
getoog.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
