مخزن CocoaPods، که پایگاهی برای کدهای منبع‌باز استفاده‌شده در اپلیکیشن‌های iOS و macOS می‌باشد، با کشف یک آسیب‌پذیری امنیتی مواجه شده که می‌تواند میلیون‌ها برنامه را در معرض خطر قرار دهد. شرکت EVA، که در زمینه امنیت اطلاعات فعالیت دارد، اعلام کرده است که این نقض امنیتی می‌تواند به هکرها اجازه دهد تا حملات Supply Chain Attack را انجام دهند.

بر اساس گزارش‌ها، تقریباً سه میلیون اپلیکیشن که با استفاده از CocoaPods ساخته شده‌اند، برای نزدیک به ده سال در برابر این خطر آسیب‌پذیر بوده‌اند. CocoaPods به توسعه‌دهندگان این امکان را می‌دهد که به سادگی کدهای متفرقه را از طریق کتابخانه‌های متن‌باز با برنامه‌های خود ادغام کنند و هرگاه کتابخانه‌ای به‌روزرسانی می‌شود، برنامه‌های مرتبط به‌طور خودکار به‌روزرسانی‌های جدید را دریافت می‌کنند.

EVA تأکید کرده است که آسیب‌پذیری مذکور در CocoaPods می‌تواند به مهاجمان این امکان را بدهد که به اطلاعات حساسی مانند داده‌های کارت‌های اعتباری، سوابق پزشکی و اطلاعات خصوصی دسترسی پیدا کنند، که ممکن است برای اهداف مخربی چون باج‌افزار، کلاه‌برداری و جاسوسی استفاده شوند.

آسیب‌پذیری‌های موجود در CocoaPods با مکانیزم تأیید ایمیل ناامن مرتبط هستند که برای احراز هویت توسعه‌دهندگان به کار می‌رود. به عنوان مثال، یک مهاجم می‌تواند URL موجود در لینک تأیید را دست‌کاری کند تا کاربران را به سرورهای مخرب هدایت کند. تیم CocoaPods اقداماتی را برای رفع این آسیب‌پذیری‌ها انجام داده است.

پس از آنکه محققان EVA به‌طور خصوصی آسیب‌پذیری‌های شناسایی‌شده را به توسعه‌دهندگان CocoaPods اطلاع دادند، آن‌ها اقدام به پاک کردن تمام کلیدهای جلسات کردند تا اطمینان حاصل کنند که دسترسی به حساب‌ها بدون کنترل بر آدرس ایمیل ثبت‌شده ممکن نباشد.

این نخستین بار نیست که CocoaPods با تهدیدات امنیتی روبرو می‌شود. در سال ۲۰۲۱، مسئولان پروژه از یک مشکل امنیتی دیگر خبر دادند که به مهاجمان اجازه می‌داد تا کد دلخواهی را روی سرورهای مدیریت‌کننده مخازن CocoaPods اجرا کنند، که این امر می‌توانست به جایگزینی بسته‌های موجود با نسخه‌های مخرب منجر شود.

محققان EVA به توسعه‌دهندگانی که از CocoaPods استفاده می‌کنند توصیه می‌کنند که برای شناسایی کدهای مخرب، همواره اسکن‌های امنیتی را روی کتابخانه‌های متفرقه انجام دهند.