iPhone過百萬Apps存安全隱患?CocoaPods被揭有3個嚴重漏洞(am730製圖)
許多應用程式在開發過程中,都可能會用到開源的儲存庫來將第三方的程式碼融入至自身的應用當中,以提升開發速度及便利性。而 App iOS 和 macOS 諸多應用程式的開發者,則會選擇使用 CocoaPods 開源儲存庫,然而最近就有研究報告指出 CocoaPods 存在安全漏洞,足以影響多達 300 萬個應用程式的安全性。
信用卡及個人資訊或外泄
報告來自 EVA Information Security,指出 CocoaPods 有三個嚴重漏洞,有可能導致駭客透過這些漏洞滲透至許多 Apple 裝置以竊取用家資訊、利用虛假電子郵件偷取開發者帳號,以及使 CocoaPods 使用的 Trunk 伺服器停止運作等。
這樣會對例如 Netflix、Amazon,以及 Apple 自身這些很熱門的程式造成重大的負面影響,同時連帶到用家身上,洩露他們的信用卡、個人資訊等,被用作勒索、詐騙等活動中。
CocoaPods開始修復漏洞
現時 CocoaPods 已經開始修復漏洞,防止惡意程式碼插入至熱門的 iOS 及 MacOS 應用當中。同時亦刪除所有會議金鑰,確保只有能夠登入並存取電郵的人可以利用它來更新 Pod (總括元數據,如名稱、版本、來源檔案等資訊的規格文件);以及為那些被孤立,能被駭客使用的 Pod 加上限制,避免被隨意使用等。
垃圾電話每日滋擾 5大來電攔截Apps實測 杜絕詐騙、廣告需要課金嗎?
CocoaPods 在以前也曾遇過類似的問題,不過亦有成功修補。而 EVA 的人員則建議使用 CocoaPods 的開發人員應該要時常檢查 CocoaPods 的依賴關係,並定期執行安全程式碼掃描,以偵側外部儲存庫上的惡意程式碼。而普通用家則最好經常更新應用,以及謹慎使用未知的應用程式,以保障自身資訊的安全性。