Hàng nghìn ứng dụng iOS có thể gặp nguy vì lỗ hổng nguồn mở

Một lỗ hổng trên phần mềm nguồn mở Cocoapods có thể khiến các ứng dụng như Facebook, TikTok, Netflix trên iOS, macOS có nguy cơ bị tấn công.

Hàng nghìn ứng dụng iOS có thể gặp nguy vì lỗ hổng nguồn mở

Một lỗ hổng ẩn trên phần mềm nguồn mở Cocoapods có thể khiến các ứng dụng như Facebook, TikTok, Netflix trên iOS, macOS bị tấn công.

Nhóm nghiên cứu của EVA Information Security, công ty an ninh mạng và kiểm tra tại Israel, cho biết đã phát hiện lỗi trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) được sử dụng rộng rãi cho các dự án phần mềm được mã hóa hóa bằng ngôn ngữ lập trình Swift và Objective-C. Dependency Manager là công cụ quan trọng trong quá trình phát triển phần mềm, cho phép xác thực và ký mã hóa các gói phần mềm. Do đó, việc một công cụ như vậy gặp phải vấn đề sẽ tác động xấu đến nhiều phần của phần mềm hoặc web.

Một người dùng có thể thao tác các ứng dụng trên iPhone. Ảnh: NextPit

Người dùng thao tác trên iPhone. Ảnh: NextPit 

Theo EVA Information Security, vấn đề có thể đã tồn tại từ năm 2014, là kết quả của quá trình chuyển đổi máy chủ Cocoapods không thanh toán được dẫn đến hàng hủy gói thư viện phần mềm bị "mồ côi", tức là không còn liên kết với file gốc ban đầu và không thể truy xuất nguồn gốc. Đây là những khe hở thay thế giúp kẻ tấn công thay thế mã nguồn gốc bằng mã độc hại của chúng.

"Do missing skip about system security, these packages can be bad killers takes the Qatar, then used to inject independent toxic into the tool playdevelopment software reserved", đại diện cho nhóm viết trên Blog . "Vì không được phát hiện trong thời gian dài, nghĩa là hàng hóa vô hiệu hóa ứng dụng và hàng triệu thiết bị đã được lưu trữ trong những năm qua".

Với nhiều ứng dụng có quyền truy cập vào thông tin cảm biến của người dùng như thẻ tín dụng, hồ sơ y tế, tài liệu riêng, hacker có thể lợi dụng lỗ hổng, cài đặt ransomware hoặc các loại mã độc khác để thu thập chúng.  

Cũng theo nhóm nghiên cứu, Apple là "trung tâm của sự hỗn loạn" khi nhiều ứng dụng iOS và macOS đều được mã hóa bằng ngôn ngữ Swift và Objective-C, bao gồm cả những cái tên phổ biến như TikTok, Snapchat, LinkedIn , Netflix, Microsoft Teams, Facebook, Messenger. Do đó, hàng hủy ứng dụng trên các nền tảng này có thể bị ảnh hưởng và "một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm cho hầu hết các thiết bị của Apple, khiến hàng hủy tổ chức dễ bị tổn thương về mặt tài chính và danh tiếng".

Theo nhóm nghiên cứu, những lỗi trên hiện đã được Cocoapods vá, nhưng việc gần một thập kỷ chưa được phát hiện là nguyên nhân gây lo sợ. Nhóm báo cáo khuyến mại các nhà phát triển nên xem lại mã nguồn sản phẩm của mình nhằm xác định phần mềm đã bị lỗi hay không.

Apple chưa được bình luận.

Nguồn: https://vnexpress.net/