লক্ষ লক্ষ iOS অ্যাপগুলি CocoaPods নিরাপত্তা লঙ্ঘনের জন্য উন্মুক্ত হয়েছিল

লক্ষ লক্ষ iOS এবং macOS অ্যাপগুলি একটি নিরাপত্তা লঙ্ঘনের সম্মুখীন হয়েছে যা সম্ভাব্য সাপ্লাই-চেইন আক্রমণের জন্য ব্যবহার করা যেতে পারে, একটি বলছে আরসটেকনিকা দ্বারা গবেষণা উপর ভিত্তি করে রিপোর্ট ইভা তথ্য নিরাপত্তা. অ্যাপল প্ল্যাটফর্মের জন্য তৈরি করা অনেক জনপ্রিয় অ্যাপের দ্বারা ব্যবহৃত ওপেন-সোর্স রিপোজিটরি কোকোপডসে শোষণটি পাওয়া গেছে।

CocoaPods প্রভাবিত iOS এবং macOS অ্যাপগুলিতে পাওয়া শোষণ

প্রতিবেদন অনুসারে, প্রায় 3 মিলিয়ন iOS এবং macOS অ্যাপ যা CocoaPods দিয়ে তৈরি করা হয়েছিল প্রায় 10 বছর ধরে দুর্বল ছিল। যারা অপরিচিত তাদের জন্য, CocoaPods বিকাশকারীদের জন্য ওপেন সোর্স লাইব্রেরির মাধ্যমে তাদের অ্যাপে তৃতীয় পক্ষের কোড সংহত করা সহজ করে তোলে। যখন একটি লাইব্রেরি আপডেট করা হয়, তখন এটি ব্যবহার করা অ্যাপগুলি স্বয়ংক্রিয়ভাবে সর্বশেষ আপডেটগুলি পায়৷

ইভা ইনফরমেশন সিকিউরিটি প্রকাশ করেছে যে শোষণ আক্রমণকারীদের সংবেদনশীল অ্যাপ ডেটা যেমন ক্রেডিট কার্ডের বিবরণ, মেডিকেল রেকর্ড এবং ব্যক্তিগত উপাদান অ্যাক্সেস করতে পারে। ডেটা র‍্যানসমওয়্যার, জালিয়াতি, ব্ল্যাকমেইল এবং কর্পোরেট গুপ্তচরবৃত্তি সহ বেশ কয়েকটি দূষিত উদ্দেশ্যে ব্যবহার করা যেতে পারে।

দুর্বলতাগুলি পৃথক পড (লাইব্রেরি) এর বিকাশকারীদের প্রমাণীকরণের জন্য ব্যবহৃত একটি অনিরাপদ ইমেল যাচাইকরণ পদ্ধতির সাথে সম্পর্কিত ছিল। উদাহরণস্বরূপ, একজন আক্রমণকারী একটি দূষিত সার্ভারের দিকে নির্দেশ করতে একটি যাচাইকরণ লিঙ্কে ইউআরএল ম্যানিপুলেট করতে পারে। কোকোপডস দল ইতিমধ্যেই শোষণগুলি ঠিক করা হয়েছে তা নিশ্চিত করার জন্য পদক্ষেপ নিয়েছে।

EVA গবেষকরা ব্যক্তিগতভাবে CocoaPods বিকাশকারীদের দুর্বলতার বিষয়ে অবহিত করার পরে, তারা নিবন্ধিত ইমেল ঠিকানার নিয়ন্ত্রণ ছাড়াই কেউ অ্যাকাউন্ট অ্যাক্সেস করতে না পারে তা নিশ্চিত করার জন্য সমস্ত সেশন কী মুছে ফেলে।

CocoaPods রক্ষণাবেক্ষণকারীরা পুরানো অনাথ শুঁটি পুনরুদ্ধারের জন্য একটি নতুন পদ্ধতি যুক্ত করেছে যার জন্য সরাসরি রক্ষণাবেক্ষণকারীদের সাথে যোগাযোগ করতে হবে। এই মুহুর্তে এই নির্ভরতাগুলির মধ্যে একটি গ্রহণ করতে একজন লেখককে কোম্পানির সাথে যোগাযোগ করতে হবে।

এটি প্রথমবার নয় যে কোকোপড আক্রমণকারীদের দ্বারা লক্ষ্যবস্তু করা হয়েছে। 2021 সালে, প্রকল্পের রক্ষণাবেক্ষণকারীরা একটি নিরাপত্তা সমস্যা নিশ্চিত করেছে এটি CocoaPods সংগ্রহস্থলগুলিকে এটি পরিচালনাকারী সার্ভারগুলিতে নির্বিচারে কোড চালানোর অনুমতি দেয়। এটি বিদ্যমান প্যাকেজগুলিকে দূষিত সংস্করণ দ্বারা প্রতিস্থাপন করতে ব্যবহার করা যেতে পারে কোড সহ যা iOS এবং Mac অ্যাপগুলিতে শিপিং শেষ করতে পারে৷

EVA গবেষকরা তাদের অ্যাপে CocoaPods ব্যবহার করে ডেভেলপারদের সবসময় CocoaPods নির্ভরতা পর্যালোচনা করতে এবং সমস্ত বাহ্যিক লাইব্রেরিতে দূষিত কোড সনাক্ত করতে নিরাপত্তা স্ক্যান চালানোর পরামর্শ দেন।

এছাড়াও পড়ুন

FTC: আমরা আয় উপার্জন অটো অ্যাফিলিয়েট লিঙ্ক ব্যবহার করি। আরও

Source link

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

Raytahost Facebook Sharing Powered By : Raytahost.com