EVA INFORMATION SECURITY’DEN YAPILAN ARAŞTIRMA:
EVA Information Security’nin siber güvenlik araştırmacıları, CocoaPods’un “trunk” sunucusunda üç güvenlik açığı tespit etti. Bu açıklardan biri, e-posta doğrulama mekanizmasında bulunarak, geliştiricilerin hesaplarına erişim sağlayan bir zafiyet içeriyordu. Diğer açıklar ise terk edilmiş pod’ların ele geçirilmesi ve saldırganların sunucuda kod çalıştırabilmesine olanak tanımasıydı. Bu durum, milyonlarca kullanıcının güvenliğini tehlikeye atıyordu.
GENİŞ KAPSAMLI GÜVENLİK AÇIĞI:
Yaklaşık 3 milyon mobil uygulamanın kullandığı 100.000 kütüphaneden bazılarının bulunduğu CocoaPods platformundaki açıklar, kullanıcıların hassas bilgilerine erişimi kolaylaştırıyordu. Araştırmacılar, saldırganların bu bilgileri kötü niyetli amaçlar için kullanabileceği uyarısında bulundular. Ayrıca, uygulamaların otomatik olarak güncellenmesi, saldırganların müdahalesini daha da kolaylaştırıyordu.
ÖNLEM ALINMASI GEREKEN BİR DURUM:
Güvenlik açıkları Ekim 2023’te bildirilmiş ve düzeltilmiş olsa da, bu durum Apple ve uygulama geliştiricileri için ciddi bir uyarı niteliğindeydi. Kullanıcı bilgilerinin güvenliği için sürekli olarak önlem alınması gereken bir süreç olduğu vurgulanarak, bu tür açıkların vahşi ortamlarda istismar edilmemesi için gereken dikkatin gösterilmesi gerektiği belirtildi.