iOS uygulamalarında korkutan güvenlik açığı

EVA Information Security’den siber güvenlik araştırmacıları, Swift ve Objective-C projeleri için bir bağımlılık yöneticisi olan CocoaPods’un, “trunk” sunucusunda üç güvenlik açığı taşıdığını belirttiler.

Bu güvenlik açıklarından biri, platformun pod geliştiricilerini doğrulamak için kullandığı e-posta doğrulama mekanizmasında bulunuyor. Geliştirici, pod ile ilişkili e-posta adresini girerek hesabına erişim sağlıyor ve ardından e-posta adresine bir bağlantı gönderiliyor. Ancak, bu bağlantıdaki URL, saldırganların kontrolündeki bir sunucuya yönlendirilmek üzere değiştirilebiliyor.

Milyonlarca kullanıcı risk altında

İkinci güvenlik açığı, tehdit aktörlerinin geliştiriciler tarafından terk edilmiş, ancak hala uygulamalarda kullanılan pod’ları ele geçirmesine olanak tanıyor. Üçüncü güvenlik açığı ise saldırganların trunk sunucusunda kod çalıştırabilmesine izin veriyor.

Yaklaşık 3 milyon mobil uygulamanın platformda bulunan 100.000 kütüphaneden bazılarını kullanması nedeniyle saldırı yüzeyi oldukça geniş. Dahası, kütüphane değiştirildiğinde, kullanıcıların herhangi bir etkileşimi olmadan uygulamalar otomatik olarak güncelleniyor.

Araştırmacılar, yazdıkları makalede, “Birçok uygulama, kullanıcıların en hassas bilgilerine erişebilir: kredi kartı bilgileri, tıbbi kayıtlar, özel materyaller ve daha fazlası. Bu uygulamalara kod enjekte etmek, saldırganların bu bilgileri fidye yazılımı, dolandırıcılık, şantaj, kurumsal casusluk gibi neredeyse hayal edilebilecek her türlü kötü niyetli amaç için kullanmasına olanak tanır. Bu süreç, şirketleri büyük yasal sorumluluklara ve itibar riskine maruz bırakabilir.” ifadelerine yer verdiler. Siz bu konu hakkında ne düşünüyorsunuz? Apple’ın bu güvenlik açığına maruz kalmasını nasıl yorumluyorsunuz?

Güvenlik açıkları Ekim 2023’te bildirildi ve düzeltildi, o dönemde bu açıkların vahşi ortamda istismar edildiğine dair bir kanıt bulunmamaktaydı. Bugün, uygulama geliştiricileri ve kullanıcıların herhangi bir önlem almasına gerek kalmadı.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

canlı casino siteleriWindows 11 Pro Lisans Keygöt deliğinden göt deliğine nakliyatdeneme bonusu veren sitelergöt deliğinden göt deliğine nakliyatgöt deliğinden göt deliğine nakliyatbeylikdüzü escortbeylikdüzü escortkartal escortankara escortankara escortankara escortankara escortwarez forumwarez scriptwarez scriptlerwarez php scriptlerhack forumwarez scriptlerwarez scriptlerwarez scriptlerwarez scriptlerhack forumwarez php scriptlerwarez forumwarez forumwarez php scriptwarez php scriptlerwarez forumwarez scriptkartal escortkartal escortwarez scriptwarez php scriptlerhack forumhack forumhack forumhack forumwarez forumwarez php scriptlerhack forumhack forumhack forumhack forumhack forumphp scriptlerhack forumhack forumwarez scriptcrack forumwarez scriptporn moviesporn movieswarez scriptwarez scriptwarez scriptwarez scriptwarez scriptgaziantep escortgaziantep escortwarez scriptwarez scriptwarez scriptgaziantep escortgaziantep escortwarez scriptwarez scriptwarez scriptwarez scriptwarez scriptwarez scriptwarez scriptwarez scriptgöt deliğigöt deliğigöt deliğiataşehir escortataşehir escortnakliyatnakliyatşehirler arası nakliyatataşehir escortataşehir escortbursa escortbursa escortataşehir escortataşehir escortkadıköy escortırkçı haber sitesikonya escortmeritking girişmeritkingdeneme bonusudeneme bonusugöt deliğinden göt deliğine nakliyatgöt deliğinden göt deliğine nakliyatgöt deliğinden göt deliğine nakliyatgöt deliğinden göt deliğine nakliyatgöt deliğinden göt deliğine nakliyat