Theo thông tin từ TechRadar, các chuyên gia an ninh mạng vừa cảnh báo về một lỗ hổng bảo mật nguy hiểm trong CocoaPods, công cụ quản lý thư viện phổ biến được ứng dụng rộng rãi trong việc phát triển ứng dụng trên hệ điều hành iOS và macOS. Lỗ hổng này có khả năng cho phép tin tặc thực hiện các cuộc tấn công chuỗi cung ứng, tiềm ẩn nguy cơ đe dọa hàng triệu ứng dụng và người dùng.
Theo thông tin từ EVA Information Security, đã có ba lỗ hổng được phát hiện trong máy chủ "trunk" của CocoaPods, cho phép tin tặc chiếm quyền kiểm soát tài khoản nhà phát triển, tiếp quản các thư viện không được quan tâm và thậm chí thực thi mã độc trên máy chủ. Với khoảng 3 triệu ứng dụng đang sử dụng hơn 100.000 thư viện từ CocoaPods, tác động của lỗ hổng này là vô cùng nghiêm trọng.
Nguy cơ cao hơn là khi thư viện bị nhiễm virus, các ứng dụng liên kết sẽ tự động cập nhật mà không cần sự đồng ý của người dùng, mở ra cửa cho những hacker đánh cắp thông tin nhạy cảm như thẻ tín dụng, hồ sơ y tế hoặc dữ liệu cá nhân.
Mặc dù đã đề phòng và sửa các lỗ hổng từ tháng 10/2023 và chưa có bằng chứng về việc khai thác rộng rãi, đây vẫn là một cảnh báo đối với những nhà phát triển và người dùng về sự quan trọng của việc cập nhật và bảo vệ ứng dụng thường xuyên.
