Theo TechRadar, các chuyên gia an ninh mạng vừa đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong CocoaPods, công cụ quản lý thư viện phổ biến được sử dụng rộng rãi trong phát triển ứng dụng iOS và macOS. Lỗ hổng này có thể cho phép tin tặc thực hiện các cuộc tấn công chuỗi cung ứng, đe dọa hàng triệu ứng dụng và người dùng.
Theo EVA Information Security, ba lỗ hổng đã được phát hiện trong máy chủ "trunk" của CocoaPods, cho phép kẻ tấn công chiếm quyền điều khiển tài khoản nhà phát triển, tiếp quản các thư viện bị bỏ rơi và thậm chí thực thi mã độc trên máy chủ. Với khoảng 3 triệu ứng dụng sử dụng hơn 100.000 thư viện từ CocoaPods, quy mô ảnh hưởng của lỗ hổng này là vô cùng lớn.
Nguy hiểm hơn, một khi thư viện bị nhiễm mã độc, các ứng dụng sử dụng nó sẽ tự động cập nhật mà không cần sự đồng ý của người dùng, tạo điều kiện cho tin tặc đánh cắp thông tin nhạy cảm như thẻ tín dụng, hồ sơ y tế hay dữ liệu cá nhân.
Mặc dù các lỗ hổng đã được vá vào tháng 10/2023 và chưa có bằng chứng về việc bị khai thác trên diện rộng, nhưng đây vẫn là một lời cảnh tỉnh cho các nhà phát triển và người dùng về tầm quan trọng của việc cập nhật và bảo mật ứng dụng thường xuyên.