सेब कोकोपोड्स में हाल ही में ठीक की गई एक अज्ञात भेद्यता के कारण उपयोगकर्ता एक दशक से अधिक समय तक जोखिम में रह सकते हैं – एक निर्भरता प्रबंधक जो ऐप्पल के लिए ऐप विकसित करने के लिए स्विफ्ट और ऑब्जेक्टिव-सी परियोजनाओं के लिए कोड लाइब्रेरी होस्ट करता है। एक रिपोर्ट के अनुसार, सुरक्षा शोधकर्ताओं ने एक महत्वपूर्ण समस्या की खोज की है जो खतरे वाले अभिनेताओं को दुर्भावनापूर्ण कोड इंजेक्ट करने और संवेदनशील उपयोगकर्ता डेटा तक पहुंच प्राप्त करने की अनुमति दे सकती है, जिससे 3 मिलियन से अधिक iOS और macOS ऐप जोखिम में पड़ सकते हैं।
एप्पल ऐप्स खतरे में
के अनुसार शोधकर्ताओं साइबरसिक्यूरिटी फर्म ईवीए इंफॉर्मेशन सिक्योरिटी में, कोकोपॉड्स में तीन पहले से अनदेखी कमजोरियाँ पाई गईं, जो खतरे पैदा करने वाले अभिनेताओं को अनाथ पैकेजों के स्वामित्व का दावा करने की अनुमति दे सकती थीं, जिन्हें पॉड्स के रूप में जाना जाता है। ऐसा कहा जाता है कि इसने उन्हें iOS और macOS प्लेटफ़ॉर्म के लिए एप्लिकेशन में कोड इंजेक्ट करने में सक्षम बनाया – Apple द्वारा उपयोग किए जाने वाले ऑपरेटिंग सिस्टम आई – फ़ोन और ipad डिवाइस, क्रमशः।
रिपोर्ट के अनुसार यह भेद्यता 2014 में कोकोपोड्स के “ट्रंक” सर्वर में माइग्रेशन प्रक्रिया के बाद उत्पन्न हुई थी। शोधकर्ताओं के अनुसार, खतरा पैदा करने वाले लोग कोकोपोड्स के स्रोत कोड में उपलब्ध API और ईमेल पते का उपयोग करके पॉड्स के स्वामित्व का दावा कर सकते थे, उनके मूल स्रोत कोड को उनके दुर्भावनापूर्ण स्रोत कोड से बदल सकते थे।
शोधकर्ताओं का दावा है कि एक अन्य भेद्यता ने ईमेल सत्यापन प्रक्रिया के उपयोग को सर्वर पर मनमाना कोड चलाने में सक्षम बनाया होगा, जिससे खतरा पैदा करने वाले को पॉड्स में हेरफेर करने और उन्हें बदलने का मौका मिल जाएगा।
इस कारनामे ने लाखों लोगों को प्रभावित किया आईओएस और मैक ओएस ऐप्स के साथ-साथ संवेदनशील उपयोगकर्ता डेटा जैसे पासवर्ड, क्रेडिट कार्ड विवरण, मेडिकल रिकॉर्ड आदि भी खतरे में हैं।
शोधकर्ताओं ने कहा, “इन अनुप्रयोगों में कोड डालने से हमलावरों को लगभग किसी भी दुर्भावनापूर्ण उद्देश्य के लिए इस जानकारी तक पहुंचने में सक्षम बनाया जा सकता है – रैनसमवेयर, धोखाधड़ी, ब्लैकमेल, कॉर्पोरेट जासूसी… इस प्रक्रिया में, यह कंपनियों को प्रमुख कानूनी देनदारियों और प्रतिष्ठा संबंधी जोखिम में डाल सकता है।”
यह भी दावा किया गया है कि अक्टूबर 2023 में इन कमजोरियों को ठीक कर लिया गया था। शोधकर्ताओं का कहना है कि उन्होंने कोकोपोड्स को इसके बारे में सूचित किया, जिसके बाद पॉड्स तक सुरक्षित पहुंच सुनिश्चित करने के लिए सभी सत्र कुंजियों को मिटा दिया गया।
पिछली कमज़ोरियाँ
यह पहली बार नहीं है कि कोकोपॉड्स सुरक्षा कमज़ोरियों के कारण जांच के दायरे में आया है। 2021 में, यह था की खोज की निर्भरता प्रबंधक पर प्रकाशित एक दुर्भावनापूर्ण पैकेज रिमोट कोड निष्पादन (RCE) समस्या के कारण खतरे वाले अभिनेताओं को अपने सर्वर पर मनमाना कोड चलाने की अनुमति दे सकता है, जिससे संभावित रूप से लाखों ऐप्स खतरे में पड़ सकते हैं।
यह भेद्यता 2015 से मौजूद पाई गई थी और इसे 2021 में ही ठीक किया गया था।
सहबद्ध लिंक स्वचालित रूप से उत्पन्न हो सकते हैं – हमारा देखें नैतिक वक्तव्य जानकारी के लिए।
