Dünən ArsTechnica tərəfindən yayımlanan bir xəbər, Apple istifadəçilərini yaxından maraqlandıran həyəcan verici bir təhlükəsizlik zəifliyini ortaya çıxarıb. Bu zəiflik, kibertəhlükəsizlik araşdırma şirkəti olan EVA Information Security tərəfindən aparılan araşdırma nəticəsində aşkar edilib. Alınan məlumata görə, zəiflik, milyonlarla iOS və macOS proqramlarında mümkün təchizat zənciri hücumları üçün istifadə edilə bilən təhlükəsizlik pozuntusu olub. Təhlükəsizlik zəifliyinin ötən ilin oktyabr ayında düzəldildiyi söylənilsə də, 2014-cü ildən bəri, yəni 9 ildir ki, açıq şəkildə qaldığı bildirilir.

     Təhlükəsizlik pozuntusu, Apple platformaları üçün hazırlanmış bir çox məşhur proqramlar tərəfindən istifadə edilən açıq mənbəli depo olan CocoaPods-da aşkar edilib. Bu təhlükəsizlik probleminin, TikTok-dan Snapchat-a, LinkedIn-dən Netflix-ə, Facebook-dan Microsoft Teams-ə qədər onlarla əsas tətbiqi təhdid edə biləcəyi bildirilib. Hesabata görə, CocoaPods ilə yaradılmış 3 milyona yaxın iOS və macOS tətbiqi demək olar 10 ildir ki, bu tip təhdidlərə qarşı həssas vəziyyətdədir. Qeyd etmək lazımdır ki, CocoaPods, tərtibatçılara açıq mənbəli kitabxanalar vasitəsilə üçüncü tərəf kodunu öz proqramlarına inteqrasiya etməyi asanlaşdırır. EVA Information, bu açığın, təcavüzkarlara kredit kartı məlumatlarına, tibbi qeydlərə və digər həssas tətbiq məlumatlarına daxil olmasına imkan verə biləcəyini və məlumatların fırıldaqçılıqdan tutmuş fidyə proqramına qədər bir çox zərərli məqsədlər üçün istifadə oluna biləcəyini söyləyib.

     Təhlükəsizlik zəifliyi, tərtibatçılar tərəfindən istifadə edilən e-poçt yoxlama mexanizmi ilə bağlı olub. Məsələn, təcavüzkar doğrulama keçidlərindəki URL-ləri zərərli serverlərə yönləndirə biləcək şəkildə dəyişdirə bilərdi. CocoaPods komandası, lazımi məlumatları aldıqdan sonra lazımi addımları ataraq problemi aradan qaldırıb. Bu təhlükəsizlik problemindən istifadə edilərək hücum edilib-edilmədiyi isə hələlik bilinmir.