开源Swift和Deliver-C存储库CocoaPods存在多个漏洞,导致数百万iOS和macOS应用程序在十年内面临潜在攻击,但现已修补。
尽管CocoaPods存储库长期以来一直是众多应用的潜在目标,但iOS或macOS应用中还没有已知的漏洞利用。相关漏洞已于10月份修补,目前正在信息安全部的一份报告中披露。
Ars Technica详细介绍了该报告,解释了哪里出了问题以及如何利用漏洞。如果不良行为者设法利用这些问题,这些问题可能会导致严重的后果,而且它们总是有可能在任何人不知情的情况下被利用。
CocoaPods(Swift和Deliver-C包的存储库)存在三个关键问题。它们都与开发人员如何登录管理他们所谓的pod有关,这些pod是开发人员可以将其包含在远程更新的应用程序中的代码包。