Sự tồn tại của lỗ hổng bảo mật được sử dụng rộng rãi đang gây ra mối lo ngại lớn đối với hệ sinh thái iOS và MacOS. Thực tế, thành phần nguồn mở đã được vá nhưng các nhóm DevOps của các ứng dụng bị ảnh hưởng vẫn phải chạy đua để nhanh chóng giúp hệ thống của họ có bản cập nhật đầy đủ nhằm bảo vệ người dùng khỏi nguy cơ bị khai thác.
Các nhà nghiên cứu cho biết, các lỗ hổng được phát hiện trong Cocoapods, đây là một trình quản lý thư viện được sử dụng rộng rãi cho các dự án phần mềm. Trình quản lý thư viện là công cụ quan trọng để phát triển phần mềm. Nó cho phép xác thực và ký điện tử các gói phần mềm. Do đó, khi công cụ này bị xâm phạm cũng có nghĩa là xuất hiện mối lo ngại lớn trên không gian mạng.
Theo thông tin được tiết lộ từ nhóm nghiên cứu tại E.V.A. Information Security, đây là một công ty chuyên về an ninh mạng và kiểm tra thâm nhập thì những lỗ hổng Cocoapods là kết quả của quá trình di chuyển máy chủ Cocoapods không hoàn hảo diễn ra vào năm 2014. Vì vấn đề bảo mật bị thiếu sót nên những gói này có thể dễ dàng bị kẻ xấu lợi dụng và sử dụng để thực hiện các cuộc tấn công chuỗi cung ứng để đưa ra các bản cập nhật mã độc hại vào các dự án phần mềm của công ty dựa vào chúng.
Nguyên nhân được các nhà nghiên cứu lý giải như sau: Ở thời điểm năm 2014, quá trình di chuyển đã để lại hàng ngàn gói phần mềm mồ côi, không xác định được chủ sở hữu ban đầu. Trong đó, nhiều gói vẫn được sử dụng rộng rãi trong các thư viện khác. Kẻ tấn công có thể tuyên bố quyền sở hữu đối với bất kỳ gói nào trong số này. Tiếp đó, kẻ tấn công sẽ thay thế mã nguồn gốc bằng mã độc hại riêng. Những lỗ hổng mà các nhà nghiên cứu phát hiện có thể được sử dụng để kiểm soát chính trình quản lý phụ thuộc và các gói đã xuất bản. Ngoài ra, các phần phụ thuộc tiếp theo có thể đồng nghĩa với việc hàng ngàn ứng dụng và thiết bị đã bị lộ trong vài năm trở lại đây.
Mặc dù, các lỗi đều đã được vá nhưng không thể chủ quan bởi chúng đã bị “ngó lơ” trong một khoảng thời gian dài.
Nguyên nhân khiến Apple trở thành tâm điểm xung quanh vụ việc này vì nhiều ứng dụng iOS và MacOS được viết bằng cả ngôn ngữ Swift và Objective-C, khiến chúng dễ gặp phải những vấn đề như đã nêu. Theo đó, những lỗi này có thể ảnh hưởng đến hàng triệu ứng dụng và chỉ cần một cuộc tấn công vào hệ sinh thái ứng dụng di động cũng có thể lây nhiễm gần như mọi thiết bị của Apple. Điều này gây tổn thất nghiêm trọng về tài chính và danh tiếng cho các tổ chức, đơn vị liên quan.
Khuyến cáo được các nhà nghiên cứu đưa ra là các nhà phát triển nên xem xét lại sản phẩm của mình và kiểm tra tính toàn vẹn của các phần phụ thuộc nguồn mở được sử dụng trong mã ứng dụng của họ. Từ đó, đảm bảo rằng hệ thống và khách hàng của họ không bị lộ.
Trên thực tế, chính các nhà nghiên cứu cũng khẳng định chưa thấy bất kỳ bằng chứng nào của việc ứng dụng đã thực sự bị xâm phạm nhưng nếu điều này xảy ra thì người dùng sẽ gặp phải những rắc rối lớn. Tuy nhiên, người dùng vẫn cần lưu ý vì nhiều ứng dụng có thể truy cập thông tin nhạy cảm nhât của người dùng như thẻ tín dụng, hồ sơ y tế…
Hiện, Apple vẫn chưa đưa ra bình luận về vấn đề này.
