Sự tồn tại của lỗ hổng bảo mật trong một tiện ích phần mềm nguồn mở được sử dụng rộng rãi đang gây ra những lo ngại lớn cho hệ sinh thái iOS và MacOS. Các nhà nghiên cứu bảo mật cho biết các lỗ hổng này có thể ảnh hưởng đến hàng nghìn ứng dụng phổ biến, bao gồm TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger, v.v. Trong khi các thành phần nguồn mở đã được vá, các nhóm DevOps của các ứng dụng bị ảnh hưởng chắc chắn đang chạy đua với thời gian để đảm bảo hệ thống của họ được cập nhật đầy đủ để bảo vệ người dùng khỏi lỗ hổng tiềm ẩn.
Các lỗ hổng được phát hiện trong Cocoapods, một trình quản lý thư viện được sử dụng rộng rãi cho các dự án phần mềm được viết bằng ngôn ngữ lập trình Swift và Objective-C. Trình quản lý thư viện là công cụ quan trọng trong quy trình phát triển phần mềm, cho phép các gói phần mềm được xác thực và ký kỹ thuật số. Việc xâm phạm một công cụ như vậy rõ ràng có tác động tiêu cực và to lớn đối với phần lớn không gian mạng.
Các lỗ hổng bảo mật trong phần mềm nguồn mở không phải là điều gì mới mẻ. Ngành công nghiệp phần mềm thương mại dựa vào FOSS để xây dựng các sản phẩm thương mại của mình, nhưng lại dành ít thời gian để củng cố và bảo mật hệ sinh thái phần mềm miễn phí hỗ trợ toàn bộ internet. Và kết quả cuối cùng, như chúng ta đã thấy, không đẹp đẽ chút nào.
Theo các nhà nghiên cứu tại EVA Information Security, một công ty kiểm tra an ninh mạng và thâm nhập, các lỗ hổng Cocoapods là kết quả của quá trình di chuyển máy chủ Cocoapods không hoàn hảo diễn ra vào năm 2014, khiến hàng nghìn gói phần mềm trở thành trẻ mồ côi. Do các lỗi bảo mật trong hệ thống, những gói này có thể dễ dàng bị kẻ xấu khai thác và sử dụng để thực hiện các cuộc tấn công chuỗi cung ứng, đưa các bản cập nhật mã độc vào các dự án phần mềm của công ty dựa vào chúng.
Các nhà nghiên cứu giải thích tình hình như sau: “Cuộc di chuyển năm 2014 đã để lại hàng nghìn gói mồ côi (không rõ chủ sở hữu ban đầu), nhiều gói trong số đó vẫn được sử dụng rộng rãi trong các thư viện khác. Sử dụng API công khai và địa chỉ email có trong mã nguồn CocoaPods, kẻ tấn công có thể tuyên bố quyền sở hữu bất kỳ gói nào trong số này, sau đó cho phép kẻ tấn công thay thế mã nguồn gốc bằng mã độc của riêng chúng… Các lỗ hổng mà chúng tôi phát hiện có thể được sử dụng để kiểm soát chính trình quản lý phụ thuộc và bất kỳ gói nào đã xuất bản. Các phụ thuộc tiếp theo có thể có nghĩa là hàng nghìn ứng dụng và hàng triệu thiết bị đã bị lộ trong vài năm qua.”
Cả ba lỗi đều đã được vá, nhưng mức độ nghiêm trọng của chúng, cùng với thời gian chúng bị bỏ ngỏ—chín năm—chắc chắn sẽ khiến nhiều nhóm phần mềm đau đầu. Lý do Apple là trung tâm của mớ hỗn độn này là vì nhiều ứng dụng iOS và macOS được viết bằng cả Swift và Objective-C, khiến chúng đặc biệt dễ bị ảnh hưởng bởi các vấn đề hiện tại. Các nhà nghiên cứu cho biết các lỗi này có thể ảnh hưởng đến “hàng nghìn” hoặc “hàng triệu” ứng dụng và “một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm gần như mọi thiết bị của Apple, khiến hàng nghìn tổ chức dễ bị tổn thương nghiêm trọng về tài chính và danh tiếng”.
Các nhà nghiên cứu khuyến nghị các nhà phát triển xem xét sản phẩm của họ và “xác minh tính toàn vẹn của các phụ thuộc nguồn mở được sử dụng trong mã ứng dụng của họ”, do đó đảm bảo rằng hệ thống và khách hàng của họ không bị lộ thông tin.
Trong khi các nhà nghiên cứu cho biết họ chưa thấy bất kỳ bằng chứng nào cho thấy các ứng dụng thực sự đã bị xâm phạm, nếu có, người dùng có thể gặp rắc rối lớn. Các nhà nghiên cứu lưu ý rằng vì nhiều ứng dụng có thể “truy cập thông tin nhạy cảm nhất của người dùng: thông tin thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư”, tội phạm mạng có thể đưa mã vào ứng dụng thông qua phần mềm độc hại bị xâm phạm, cho phép chúng “truy cập thông tin này cho hầu hết mọi mục đích độc hại có thể tưởng tượng được — phần mềm tống tiền, gian lận, tống tiền, gián điệp doanh nghiệp”.
Gizmodo đã liên hệ với Apple để xin bình luận nhưng vẫn chưa nhận được phản hồi.
Link nguồn: https://cafef.vn/canh-bao-ung-dung-tiktok-messenger-netflix-tren-ios-co-nguy-co-dinh-don-boi-mot-lo-hong-bao-mat-cuc-ky-nghiem-trong-188240703133453424.chn