Sự tồn tại của lỗ hổng bảo mật trong một tiện ích phần mềm nguồn mở được sử dụng phổ biến đang gây ra lo ngại lớn cho hệ sinh thái iOS và MacOS. Các chuyên gia bảo mật cho biết rằng, những lỗ hổng này có thể gây ảnh hưởng đến hàng ngàn ứng dụng phổ thông như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger,... Mặc dù các vấn đề bảo mật đã được khắc phục, nhưng các nhóm DevOps của các ứng dụng bị ảnh hưởng đang phải nỗ lực hết mình để đảm bảo hệ thống của họ luôn được cập nhật đầy đủ, nhằm bảo vệ người dùng trước nguy cơ bị lợi dụng.
Các lỗ hổng đã được phát hiện trong Cocoapods, một trình quản lý thư viện phổ biến được sử dụng trong các dự án phần mềm viết bằng ngôn ngữ lập trình Swift và Objective-C. Trình quản lý thư viện đóng vai trò quan trọng trong quy trình phát triển phần mềm, giúp xác thực và ký điện tử các gói phần mềm. Việc một công cụ như vậy bị tấn công rõ ràng có ý nghĩa quan trọng và tiêu cực đối với hệ thống mạng lưới lớn.
Các lỗ hổng bảo mật trong phần mềm nguồn mở không phải là điều mới mẻ. Công nghiệp phần mềm thương mại là một ngành dựa vào FOSS để phát triển sản phẩm của mình, nhưng lại ít quan tâm đến việc bảo mật hệ sinh thái phần mềm miễn phí - nền tảng của toàn bộ internet. Kết quả cuối cùng, như chúng ta đã thấy, không mấy khả quan.
Theo các chuyên gia tại E.V.A. Information Security - một công ty chuyên về an ninh thông tin và kiểm tra xâm nhập, việc phát hiện lỗ hổng trong Cocoapods là kết quả của việc di chuyển máy chủ Cocoapods không hoàn hảo vào năm 2014, dẫn đến việc "mất mát" hàng ngàn gói phần mềm. Với những lỗ hổng bảo mật trong hệ thống, kẻ xấu có thể lợi dụng những gói này để thực hiện các cuộc tấn công chuỗi cung ứng, đưa các bản cập nhật mã độc hại vào dự án phần mềm của công ty.
Các nhà nghiên cứu giải thích rằng vào năm 2014, khi quá trình di chuyển xảy ra, đã tạo ra hàng ngàn gói phần mềm mồ côi (có chủ sở hữu không rõ ràng), trong đó một số gói vẫn đang được sử dụng phổ biến trong các thư viện khác nhau. Bằng cách sử dụng API công khai và địa chỉ email có sẵn trong mã nguồn của CocoaPods, kẻ tấn công có thể tuyên bố quyền sở hữu đối với bất kỳ gói nào trong số đó, sau đó cho phép họ thay thế mã nguồn gốc bằng mã độc hại của riêng họ... Các hệ lỗ đã được phát hiện có thể được sử dụng để kiểm soát hệ thống quản lý phụ thuộc và tất cả các gói đã được xuất bản. Việc này có thể dẫn đến hàng ngàn ứng dụng và hàng triệu thiết bị đã bị lộ trong vài năm qua.
Cả ba lỗi đều đã được sửa, nhưng mức độ nghiêm trọng của chúng, cùng với việc chúng bị bỏ qua trong khoảng thời gian dài - chín năm - chắc chắn khiến nhiều nhóm phần mềm phải mất ngủ. Nguyên nhân khiến Apple trở thành trung tâm của cơn hỗn độn này là vì nhiều ứng dụng iOS và MacOS được viết bằng cả ngôn ngữ Swift và Objective-C, làm cho chúng dễ bị gặp phải vấn đề. Các nhà nghiên cứu cho biết các lỗi có thể ảnh hưởng đến "hàng nghìn" hoặc "hàng triệu" ứng dụng và "một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm gần như mọi thiết bị của Apple, làm cho hàng nghìn tổ chức dễ bị tổn thất về tài chính và danh tiếng một cách nghiêm trọng."
Theo các chuyên gia, cần khuyến khích các nhà phát triển kiểm tra sản phẩm của mình và "đảm bảo tính nguyên vẹn của các phần mở rộng được sử dụng trong mã nguồn của họ", để đảm bảo rằng hệ thống và thông tin của khách hàng không bị rò rỉ.
Các chuyên gia cho biết mặc dù chưa có bằng chứng nào chứng minh ứng dụng đã bị xâm phạm, nhưng nếu điều đó xảy ra, người dùng có thể gặp rắc rối lớn. Họ lưu ý rằng nhiều ứng dụng có thể tiếp cận thông tin nhạy cảm nhất của người dùng như thông tin chi tiết thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư. Do đó, tội phạm mạng có thể lợi dụng phần mềm độc hại đã bị xâm phạm để truy cập vào ứng dụng và sử dụng thông tin này cho các mục đích độc hại như ransomware, gian lận, tống tiền, hoặc gián điệp doanh nghiệp.
Gizmodo đã tiếp xúc với Apple để đề nghị ý kiến, tuy nhiên vẫn chưa nhận được phản hồi.
