Serangkaian kerentanan yang baru ditemukan dalam utilitas perangkat lunak sumber terbuka yang banyak digunakan dapat menimbulkan masalah besar bagi sebagian besar ekosistem iOS dan MacOS. Bug yang dimaksud dapat memengaruhi ribuan aplikasi yang banyak digunakan, termasuk program populer seperti TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger, dan banyak lainnya, menurut penelitian keamanan terkaitMeskipun komponen sumber terbuka itu sendiri telah ditambal, tim DevOps untuk aplikasi yang terdampak pasti berusaha keras untuk memastikan bahwa sistem mereka diperbarui dengan benar guna melindungi pengguna dari potensi eksploitasi.
Kerentanan tersebut ditemukan di Buah Kakaopengelola dependensi yang banyak digunakan untuk proyek perangkat lunak yang dikodekan dalam bahasa pemrograman Swift dan Objective-C. Pengelola dependensi adalah alat penting dalam proses pengembangan perangkat lunak, yang memungkinkan validasi dan penandatanganan kriptografi paket perangkat lunak. Korupsi alat semacam itu jelas memiliki implikasi besar (dan buruk) bagi sebagian besar web.
Serangga Cocoapods ditemukan oleh para peneliti di EVA Information Security, sebuah firma keamanan siber dan pengujian penetrasi. Bug tersebut merupakan hasil migrasi server Cocoapods yang tidak sempurna yang terjadi pada tahun 2014, yang mengakibatkan ribuan paket perangkat lunak menjadi “terlantar”. Karena kekurangan keamanan dalam sistem, paket-paket tersebut dapat dengan mudah diambil alih oleh pelaku kejahatan dan (secara hipotetis) digunakan untuk melakukan serangan rantai pasokan yang dapat memperkenalkan pembaruan kode berbahaya ke proyek perangkat lunak perusahaan yang bergantung padanya. Para peneliti menguraikan situasi tersebut seperti ini:
Proses migrasi tahun 2014 meninggalkan ribuan paket tak bertuan (yang pemilik aslinya tidak diketahui), banyak di antaranya masih banyak digunakan di pustaka lain. Dengan menggunakan API publik dan alamat email yang tersedia di kode sumber CocoaPods, penyerang dapat mengklaim kepemilikan atas salah satu paket ini, yang kemudian akan memungkinkan penyerang mengganti kode sumber asli dengan kode jahat mereka sendiri… Kerentanan yang kami temukan dapat digunakan untuk mengendalikan pengelola dependensi itu sendiri, dan setiap paket yang diterbitkan. Dependensi hilir dapat berarti bahwa ribuan aplikasi dan jutaan perangkat telah terekspos selama beberapa tahun terakhir.
Ketiga bug tersebut telah diperbaiki, tetapi tingkat keparahannya, dan fakta bahwa bug tersebut dibiarkan terekspos selama sembilan tahun, pasti membuat banyak tim perangkat lunak tidak bisa tidur. Alasan mengapa Apple menjadi pusat perhatian dalam kekacauan ini adalah karena banyak aplikasi iOS dan MacOS dikodekan menggunakan keduanya Cepat Dan Tujuan-C bahasa, sehingga mereka sangat rentan terhadap masalah yang ada. Para peneliti menulis bahwa bug tersebut dapat memengaruhi “ribuan” atau “jutaan” aplikasi, dan bahwa “serangan pada ekosistem aplikasi seluler dapat menginfeksi hampir setiap perangkat Apple, yang menyebabkan ribuan organisasi rentan terhadap kerusakan finansial dan reputasi yang sangat besar.”
Para peneliti mengatakan mereka belum melihat bukti yang menunjukkan bahwa aplikasi benar-benar telah disusupi. Namun, jika ada yang benar-benar disusupi, hal itu jelas dapat menimbulkan masalah besar bagi pengguna. Para peneliti mencatat bahwa karena banyak aplikasi dapat “mengakses informasi paling sensitif milik pengguna: detail kartu kredit, catatan medis, materi pribadi,” seorang penjahat dunia maya dapat menyuntikkan kode ke dalam aplikasi melalui pod yang disusupi, yang memungkinkan mereka “mengakses informasi ini untuk hampir semua tujuan jahat yang dapat dibayangkan – ransomware, penipuan, pemerasan, spionase perusahaan.”
Para peneliti telah mendesak para pengembang korporat untuk meninjau produk mereka dan “memverifikasi integritas dependensi sumber terbuka yang digunakan dalam kode aplikasi mereka,” sehingga memastikan bahwa sistem dan pelanggan mereka tidak terekspos.
Itu kelemahan keamanan yang dapat muncul dalam perangkat lunak sumber terbuka sudah dikenal luas. Industri perangkat lunak komersial bergantung pada FOSS untuk membangun produk komersialnya, tetapi hanya sedikit waktu yang dihabiskan untuk menopang dan mengamankan ekosistem perangkat lunak bebas yang menjadi dasar seluruh internet. Hasil akhirnya, seperti yang sudah diduga, tidak baik.
Gizmodo menghubungi Apple untuk meminta komentar dan akan memperbarui berita ini jika ada tanggapan.
