We use cookies to ensure that we give you the best experience on our website.

iPhone:数百万のApp Storeアプリケーションが大規模なセキュリティ侵害の影響を受ける

iOS でのアプリ開発を容易にする依存関係マネージャーである CocoaPods が最近セキュリティ侵害に見舞われ、iPhone で利用可能な何百万ものアプリに影響を与える可能性がありました。

iOS applications
クレジット: アンスプラッシュ

CocoaPods のような依存関係マネージャーを使用すると、開発者は Xcode を使用して次のことを行うことができます。さまざまなライブラリのバージョンまたはその統合を管理する、Swift や Objective-C などのコンピューター言語の場合。CocoaPods はソフトウェア開発者にとってのリファレンスとなっており、アプリケーションの開発を加速するために既存のコードに依存することが多いためです。

多くの人の考えに反して、iOS はセキュリティ侵害の影響を受けないわけではなく、セキュリティ侵害は非常に一般的です。先週の月曜日、CacaoPods は次のことを発見したと発表しました。約 6 年前の 2015 年 6 月以来、ソフトウェアにセキュリティ上の問題が存在していました。。によると公式声明の場合、犯人は、それを使用するサーバー上で任意のコードを実行できるパッケージであると考えられます。したがって、悪意のある人物がこの脆弱性を利用して、何百万ものユーザーが使用する iOS アプリケーション内の既存のパッケージをウイルスに置き換える可能性があります。現時点では、この欠陥がこの 6 年間に悪用されたかどうかは正確にはわかりません。

Signal は CocoaPods を使用しますが、欠陥の影響を受けませんでした

Signal、WhatsApp よりも安全な代替手段Facebook Messenger は、CocoaPods を使用する 300 万のアプリケーションのうちの 1 つです。プライバシーベースのメッセージング サービスである 9to5Mac の同僚からこの件について質問されました彼はこの脆弱性の影響を受けていないと答えた。 «通常、サードパーティの依存関係を追加時と更新時の両方ですべてチェックします。当社では、監査を容易にし、予期せぬ変更が見つかる可能性を避けるために、これらすべての依存関係の独自のコピーを保持しています。イチ。さらに、この脆弱性について聞いた後、追加の監査を実行して、このディレクトリ内のコードがすべての依存関係のタグ コードと一致することを確認しました。»信号を追加しました。

こちらもお読みください: iOS 14.4 – Apple、アップデートで3つの重大な欠陥を修正

Signal 開発チームは経験豊富ですが、依存関係を扱うすべての開発者が経験豊富であるわけではありません。。この欠陥はサーバー側の CocoaPods によってできるだけ早く修正されました。したがって、ほとんどの開発者は何もアクションを起こすことはありません。ただし、自分でアクションを起こさなければならない唯一の開発者は、CocoaPods で独自のパッケージを公開する開発者です。認証トークンがリセットされました

ソース :9to5マック

Also Read