Cảnh báo: Ứng dụng TikTok, Messenger, Netflix trên iOS có nguy cơ 'dính dòn' bởi một lỗ hổng bảo mật cực kỳ nghiêm trọng

Lỗ hổng trong Cocoapods có thể đe dọa TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger và nhiều ứng dụng khác.

Sự tồn tại của lỗ hổng bảo mật trong một tiện ích phần mềm nguồn mở được sử dụng rộng rãi đang gây ra mối lo ngại lớn cho hệ sinh thái iOS và MacOS. Các nhà nghiên cứu bảo mật cho biết, những lỗ hổng này có thể ảnh hưởng đến hàng ngàn ứng dụng phổ biến, bao gồm TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger,... Mặc dù các thành phần nguồn mở đã được vá, song các nhóm DevOps của các ứng dụng bị ảnh hưởng chắc chắn đang phải chạy đua với thời gian để đảm bảo hệ thống của họ được cập nhật đầy đủ, nhằm bảo vệ người dùng khỏi nguy cơ bị khai thác.

Các lỗ hổng được phát hiện trong Cocoapods, một trình quản lý thư viện được sử dụng rộng rãi cho các dự án phần mềm được viết bằng ngôn ngữ lập trình Swift và Objective-C. Trình quản lý thư viện là công cụ quan trọng trong quy trình phát triển phần mềm, cho phép xác thực và ký điện tử các gói phần mềm. Việc một công cụ như vậy bị xâm phạm rõ ràng có ý nghĩa to lớn và tiêu cực đối với phần lớn không gian mạng.

Lỗ hổng bảo mật trong phần mềm nguồn mở không phải là điều mới mẻ. Ngành công nghiệp phần mềm thương mại dựa vào FOSS để xây dựng các sản phẩm thương mại của mình, nhưng lại dành rất ít thời gian để củng cố và bảo mật hệ sinh thái phần mềm miễn phí - nền tảng của toàn bộ internet. Và kết quả cuối cùng, như chúng ta đã thấy, là không mấy khả quan.

Theo các nhà nghiên cứu tại E.V.A. Information Security - một công ty chuyên về an ninh mạng và kiểm tra thâm nhập, những lỗ hổng Cocoapods là kết quả của quá trình di chuyển máy chủ Cocoapods không hoàn hảo diễn ra vào năm 2014, khiến hàng ngàn gói phần mềm bị "mồ côi". Do những thiếu sót về bảo mật trong hệ thống, những gói này có thể dễ dàng bị kẻ xấu lợi dụng và sử dụng để thực hiện các cuộc tấn công chuỗi cung ứng, nhằm đưa các bản cập nhật mã độc hại vào các dự án phần mềm của công ty dựa vào chúng.

Các nhà nghiên cứu giải thích tình huống như sau: "Quá trình di chuyển năm 2014 đã để lại hàng ngàn gói phần mềm mồ côi (trong đó chủ sở hữu ban đầu không xác định), nhiều gói trong số đó vẫn được sử dụng rộng rãi trong các thư viện khác. Bằng cách sử dụng API công khai và địa chỉ email có sẵn trong mã nguồn CocoaPods, kẻ tấn công có thể tuyên bố quyền sở hữu đối với bất kỳ gói nào trong số này, sau đó cho phép kẻ tấn công thay thế mã nguồn gốc bằng mã độc hại của riêng chúng... Các lỗ hổng mà chúng tôi phát hiện có thể được sử dụng để kiểm soát chính trình quản lý phụ thuộc và bất kỳ gói đã xuất bản nào. Các phần phụ thuộc tiếp theo có thể đồng nghĩa với việc hàng ngàn ứng dụng và hàng triệu thiết bị đã bị lộ trong vài năm qua."

Cả ba lỗi đều đã được vá, nhưng mức độ nghiêm trọng của chúng, cùng với việc chúng bị bỏ ngỏ trong khoảng thời gian dài - chín năm - chắc chắn khiến nhiều nhóm phần mềm phải mất ăn mất ngủ. Lý do khiến Apple trở thành tâm điểm của mớ hỗn độn này là vì nhiều ứng dụng iOS và MacOS được viết bằng cả ngôn ngữ Swift và Objective-C, khiến chúng đặc biệt dễ gặp phải những vấn đề đang xảy ra. Các nhà nghiên cứu cho biết các lỗi có thể ảnh hưởng đến "hàng nghìn" hoặc "hàng triệu" ứng dụng và "một cuộc tấn công vào hệ sinh thái ứng dụng di động có thể lây nhiễm gần như mọi thiết bị của Apple, khiến hàng nghìn tổ chức dễ bị tổn thất về tài chính và danh tiếng một cách nghiêm trọng."

Các nhà nghiên cứu khuyến cáo các nhà phát triển nên xem xét lại sản phẩm của họ và "xác minh tính toàn vẹn của các phần phụ thuộc nguồn mở được sử dụng trong mã ứng dụng của họ", qua đó đảm bảo rằng hệ thống và khách hàng của họ không bị lộ.

Mặc dù các nhà nghiên cứu cho biết họ chưa thấy bất kỳ bằng chứng nào cho thấy các ứng dụng đã thực sự bị xâm phạm, nhưng nếu điều đó xảy ra, người dùng có thể gặp rắc rối lớn. Các nhà nghiên cứu lưu ý rằng vì nhiều ứng dụng có thể "truy cập thông tin nhạy cảm nhất của người dùng: thông tin chi tiết thẻ tín dụng, hồ sơ y tế, tài liệu riêng tư", nên tội phạm mạng có thể đưa mã vào ứng dụng thông qua các phần mềm độc hại bị xâm phạm, cho phép chúng "truy cập thông tin này cho hầu hết mọi mục đích độc hại có thể tưởng tượng được - ransomware, gian lận, tống tiền, gián điệp doanh nghiệp."

Gizmodo đã liên hệ với Apple để yêu cầu bình luận nhưng vẫn chưa nhận được phản hồi.