数百万のiOSおよびmacOSアプリが、セキュリティ侵害のリスクにさらされているとEVA Information Securityが報告しています。
その報告によれば、オープンソースのリポジトリである「CocoaPods」で構築された約300万のiOSおよびmacOSアプリにおいて、約10年にわたって脆弱性が存在していたとのこと。CocoaPodsは開発者がオープンソースのライブラリを通じて、サードパーティのコードをアプリに簡単に統合できるツールです。
EVA Information Securityによれば、この脆弱性を利用することで攻撃者はクレジットカード情報、医療記録、個人情報などの機密データにアクセスできる可能性があるとのこと。これらのデータは、ランサムウェアや詐欺、恐喝、企業スパイなど、さまざまな悪意のある目的で使用される可能性があります。
CocoaPods が攻撃者の標的になったのは、今回が初めてではありません。2021年にもセキュリティ上の問題が確認されていました。
EVA Information Securityの研究者は、CocoaPodsを使用しているアプリの開発者に対し、常にCocoaPodsの依存関係を確認し、セキュリティスキャンを実行して悪意のあるコードを検出するようアドバイスしています。消費者にできることはあまりなさそうですが、対象アプリの早めのアップデートを待ちたいものです。
Source: EVA Information Security via ArsTechnica via 9to5Mac