近日,一項關於 CocoaPods 平台的安全研究引起了關注。CocoaPods 作為一個開源的 Swift 和 Objective-C 項目倉庫,其管理功能被眾多 iOS 和 macOS APP 開發者所青睞。然而,這一平台的安全漏洞可能會影響到超過 300萬款 APP ,給用戶的數碼生活帶來潛在風險。
據 E.V.A 資訊安全研究團隊的 Reef Spektor 和 Eran Vaknin 透露,他們在 CocoaPods 中發現了一系列嚴重的安全漏洞。具體來說,他們披露了三個關鍵的漏洞,分別是 CVE-2024-38368(CVSS分數9.3)、CVE-2024-38367(CVSS分數8.2)和CVE-2024-38366(CVSS分數10.0)。其中,CVE-2024-38366的CVSS分數高達10.0,足以看出該漏洞的嚴重性。
CocoaPods 擁有超過 10萬個 pods,廣泛 APP 於諸如 Instagram、X(前身為Twitter)、Slack、Airbnb、Tinder 和 Uber 等知名 APP 。其主要功能是幫助開發者簡化庫的管理和集成。然而,由於其廣泛的 APP ,這些安全漏洞的發現意味著大量 APP 可能面臨被惡意代碼攻擊的風險。
E.V.A公司的首席執行官兼聯合創始人Alon Boxiner表示:「這些漏洞的影響力非常大,難以準確統計受影響的 APP 數量。」因此,對於開發者而言,他們需要密切關注相關漏洞的修復進展,並及時更新自己的 APP 以避免潛在的安全威脅。對於用戶來說,保持軟件的最新狀態,以及對來自未知來源的軟件持謹慎態度,也是保護自己免受惡意攻擊的重要措施。