iPhone：數百萬 App Store 應用程式受到重大安全漏洞影響

CocoaPods 是一款依賴管理器，可讓您更輕鬆地在 iOS 上開發應用程序，最近遭遇安全漏洞，這可能會影響 iPhone 上的數百萬個應用程式。

像 CocoaPods 這樣的依賴管理器允許開發人員使用 Xcode管理不同庫的版本或其集成，適用於 Swift 或 Objective-C 等電腦語言。CocoaPods 已成為軟體開發人員的參考，因為他們經常依賴現有的程式碼來加速應用程式的開發。

與許多人的想法相反，iOS 並不能免受安全漏洞的影響，而且這種情況相當普遍。上週一，CacaoPods 宣布發現自 2015 年 6 月（大約 6 年前）以來，該軟體就存在安全性問題。根據官方聲明，罪魁禍首將是一個可以在使用它的伺服器上執行任意程式碼的套件。因此，惡意者可能會利用它來用數百萬用戶使用的 iOS 應用程式中的病毒替換現有的軟體包。目前，我們並不清楚這個缺陷在這 6 年間是否被利用。

Signal 使用 CocoaPods，但未受到此缺陷的影響

Signal，設計比 WhatsApp 更安全的替代方案和 Facebook Messenger 是使用 CocoaPods 的 300 萬個應用程式之一。我們在基於隱私的訊息服務 9to5Mac 的同事詢問了這個問題回應稱自己未受此漏洞影響。 «通常，我們會在新增和更新時檢查所有第三方相依性。我們保留所有這些依賴項的自己的副本，以便更輕鬆地進行審核並避免您可能發現的意外更改伊西。此外，在得知此漏洞後，我們進行了額外的審核，以驗證此目錄中的程式碼是否與我們所有依賴項中的標記程式碼相符»已新增訊號。

另請閱讀： iOS 14.4 – 蘋果透過更新修復了 3 個嚴重缺陷

Signal 開發團隊經驗豐富，但並非所有處理依賴項的開發人員都有經驗。。伺服器端的 CocoaPods 已盡快修復該缺陷，因此這不會導致大多數開發人員採取任何行動。然而，唯一需要自己採取行動的開發人員是那些在 CocoaPods 上發布自己的套件的開發人員，因為他們的身份驗證令牌已被重置。

來源 ：朝九晚五