【安全圈】CocoaPods 曝关键漏洞，数百万 macOS 和 iOS 应用程序面临供应链攻击风险

文章预览

关键词 安全漏洞 最近，Objective-C 和 Swift 的著名依赖管理器 CocoaPods 的关键漏洞被曝光，使数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险，可能会对一些苹果用户造成伤害。 问题出现在 CocoaPods 迁移到 Trunk 服务器时，导致数千个软件包无人认领，攻击者可以利用公共 API 获取 pod 和 CocoaPods 源代码中的电子邮件地址。（CocoaPods 被广泛用于管理 macOS 和 iOS 开发中的第三方库，可以自动化集成和解析，是一个广受欢迎的省时工具，因此被利用的风险很大。） 然而，这些无人认领的软件包被暴露了近十年，直到 2023 年 10 月才被修补。 Trunk 服务器作为 CocoaPods 基础设施的重要组成部分，负责管理 CocoaPods 库文件的分发和托管，对于库的版本控制、用户验证和发布流程至关重要。相关的安全问题可能会损害 CocoaPods 库的完整性，使攻击者能够向流行 ………………………………