Sebuah serangkaian kerentanan yang baru ditemukan dalam utilitas perangkat lunak sumber terbuka yang banyak digunakan bisa menjadi masalah besar bagi bagian besar dari ekosistem iOS dan MacOS. Bug-bug yang dimaksud dapat memengaruhi ribuan aplikasi yang banyak digunakan, termasuk program-program populer seperti TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger, dan banyak lainnya, menurut penelitian keamanan terkait. Meskipun komponen sumber terbuka tersebut telah diperbaiki, tim DevOps untuk aplikasi yang terkena dampak pasti sedang berusaha keras untuk memastikan bahwa sistem mereka diperbarui dengan benar untuk melindungi pengguna dari potensi eksploitasi.
The New Beats Pills Akhirnya Tiba
Kerentanan tersebut ditemukan di Cocoapods, manajer dependensi yang banyak digunakan untuk proyek-proyek perangkat lunak yang dikode dalam bahasa pemrograman Swift dan Objective-C. Manajer dependensi adalah alat penting dalam proses pengembangan perangkat lunak, memungkinkan validasi dan penandatanganan kriptografis paket perangkat lunak. Kerusakan dari alat seperti itu jelas memiliki implikasi besar (dan buruk) untuk bagian besar web.
Kerentanan Cocoapods ditemukan oleh peneliti dengan E.V.A. Information Security, sebuah perusahaan keamanan cyber dan pentesting. Kerentanan ini merupakan hasil dari migrasi server Cocoapods yang tidak sempurna yang terjadi kembali pada tahun 2014, yang “meninggalkan” ribuan paket perangkat lunak. Karena kekurangan keamanan dalam sistem tersebut, paket-paket tersebut dengan mudah dapat dikuasai oleh pelaku yang jahat dan (secara hipotetis) digunakan untuk melakukan serangan rantai pasokan yang dapat memperkenalkan pembaruan kode berbahaya ke proyek-proyek perangkat lunak perusahaan yang mengandalkan mereka. Peneliti menjelaskan situasi ini seperti ini:
Proses migrasi 2014 meninggalkan ribuan paket “tertinggal” (di mana pemilik asli tidak diketahui), banyak di antaranya masih banyak digunakan di perpustakaan lain. Dengan menggunakan API publik dan alamat email yang tersedia dalam kode sumber CocoaPods, seorang penyerang dapat mengklaim kepemilikan atas salah satu paket ini, yang kemudian akan memungkinkan penyerang untuk mengganti kode sumber asli dengan kode berbahaya mereka sendiri…Kerentanan yang kami temukan dapat digunakan untuk mengendalikan manajer dependensi itu sendiri, dan setiap paket yang dipublikasikan. Ketergantungan hilir dapat berarti bahwa ribuan aplikasi dan jutaan perangkat terekspos selama beberapa tahun terakhir.
Semua tiga bug tersebut telah diperbaiki, tetapi keparahannya, dan fakta bahwa mereka dibiarkan terbuka selama mungkin sembilan tahun, pasti membuat banyak tim perangkat lunak terjaga semalaman. Alasan mengapa Apple berada di garis depan dan tengah dari kekacauan ini adalah bahwa banyak aplikasi iOS dan MacOS dikode menggunakan bahasa Swift dan Objective-C, membuat mereka rentan terhadap masalah yang terjadi. Peneliti menulis bahwa bug-bug tersebut dapat mempengaruhi “ribuan” atau “jutaan” aplikasi, dan bahwa “serangan pada ekosistem aplikasi seluler bisa menginfeksi hampir setiap perangkat Apple, meninggalkan ribuan organisasi rentan terhadap kerusakan keuangan dan reputasi yang katastropik.”
Para peneliti mengatakan mereka belum melihat bukti apa pun yang menunjukkan bahwa aplikasi benar-benar dikompromikan. Namun, jika ada yang dikompromikan, tentu saja itu bisa menjadi masalah besar bagi pengguna. Peneliti mencatat bahwa karena banyak aplikasi bisa “mengakses informasi paling sensitif pengguna: rincian kartu kredit, catatan medis, materi pribadi,” seorang penjahat cyber bisa menyuntikkan kode ke dalam aplikasi melalui pod yang tercompromise, memungkinkan mereka “untuk mengakses informasi ini untuk hampir setiap tujuan jahat yang bisa dibayangkan – ransomware, penipuan, pemerasan, spionase korporat.”
Para peneliti telah mendesak pengembang perusahaan untuk meninjau produk mereka dan “memverifikasi integritas dependensi sumber terbuka yang digunakan dalam kode aplikasi mereka,” dengan demikian memastikan bahwa sistem mereka dan pelanggan mereka tidak terpapar.
Kekurangan keamanan yang dapat timbul dalam perangkat lunak sumber terbuka sudah dikenal luas. Industri perangkat lunak komersial bergantung pada FOSS untuk membangun produk komersialnya, tetapi sedikit waktu yang dihabiskan untuk mengokohkan dan mengamankan ekosistem perangkat lunak gratis yang seluruh internet dibangun dari atasnya. Hasil akhirnya, seperti yang diperkirakan, tidak bagus.
Gizmodo telah menghubungi Apple untuk memberikan komentar dan akan memperbarui cerita ini jika ada tanggapan.