iPhone：数百万 App Store 应用程序受到重大安全漏洞影响

CocoaPods 是一款依赖管理器，可让您更轻松地在 iOS 上开发应用程序，最近遭遇安全漏洞，这可能会影响 iPhone 上的数百万个应用程序。

像 CocoaPods 这样的依赖管理器允许开发人员使用 Xcode管理不同库的版本或其集成，适用于 Swift 或 Objective-C 等计算机语言。CocoaPods 已成为软件开发人员的参考，因为他们经常依赖现有的代码来加速应用程序的开发。

与许多人的想法相反，iOS 并不能免受安全漏洞的影响，而且这种情况相当普遍。上周一，CacaoPods 宣布发现自 2015 年 6 月（大约 6 年前）以来，该软件就存在安全问题。根据官方声明，罪魁祸首将是一个可以在使用它的服务器上执行任意代码的包。因此，恶意者可能会利用它来用数百万用户使用的 iOS 应用程序中的病毒替换现有的软件包。目前，我们并不清楚这个缺陷在这 6 年间是否被利用。

Signal 使用 CocoaPods，但未受到该缺陷的影响

Signal，旨在比 WhatsApp 更安全的替代方案和 Facebook Messenger 是使用 CocoaPods 的 300 万个应用程序之一。我们在基于隐私的消息服务 9to5Mac 的同事询问了这一问题回应称自己未受此漏洞影响。 «通常，我们会在添加和更新时检查所有第三方依赖项。我们保留所有这些依赖项的自己的副本，以便更轻松地进行审核并避免您可能发现的意外更改伊西。此外，在得知此漏洞后，我们进行了额外的审核，以验证此目录中的代码是否与我们所有依赖项中的标记代码相匹配»已添加信号。

另请阅读： iOS 14.4 – 苹果通过更新修复了 3 个严重缺陷

Signal 开发团队经验丰富，但并非所有处理依赖项的开发人员都有经验。。服务器端的 CocoaPods 已尽快修复该缺陷，因此这不会导致大多数开发人员采取任何行动。然而，唯一需要自己采取行动的开发人员是那些在 CocoaPods 上发布自己的包的开发人员，因为他们的身份验证令牌已被重置。

来源 ：朝九晚五