Mengkhawatirkan! 3 Juta Aplikasi iOS dan macOS Ternyata Sudah 10 Tahun Rentan Disusupi Malware
- Apple
Digital, VIVA – Dunia keamanan siber kembali dikejutkan oleh temuan terbaru yang berpotensi mengancam jutaan pengguna perangkat Apple di seluruh dunia. Sebuah laporan dari peneliti keamanan EVA Information Security mengungkap bahwa sekitar 3 juta aplikasi iOS dan macOS secara tidak sadar telah terpapar pada serangan rantai pasokan berbahaya yang berakar pada kerentanan lama dalam sistem pengelolaan dependensi populer bernama CocoaPods.
Masalah ini bahkan telah berlangsung hampir satu dekade sebelum akhirnya diperbaiki pada Oktober 2024. CocoaPods sendiri merupakan alat yang sangat banyak digunakan oleh para pengembang untuk mengelola pustaka eksternal berbasis Swift dan Objective-C.
Lewat sistem ini, aplikasi yang dikembangkan dapat secara otomatis menyertakan pembaruan dari pustaka pihak ketiga hanya dengan satu baris konfigurasi sederhana. Namun, kenyamanan tersebut ternyata menyimpan bom waktu.
Berikut ini penjelasan lengkap mengenai bagaimana jutaan aplikasi Apple bisa menjadi sasaran empuk serangan siber selama bertahun-tahun.
Tiga Kerentanan Utama dalam CocoaPods
Pertama, kerentanan CVE-2024-38367
Masalah ini berasal dari sistem verifikasi email yang tidak aman. Penyerang dapat mengeksploitasinya untuk menyisipkan kode berbahaya ke dalam pustaka atau paket open source yang digunakan dalam jutaan aplikasi. Celah ini memungkinkan manipulasi langsung terhadap distribusi kode tanpa diketahui oleh pengembang maupun pengguna.
Kedua, kerentanan CVE-2024-38368
Kerentanan ini memungkinkan aktor jahat mengambil alih kepemilikan pustaka atau pods yang sudah tidak lagi dipelihara oleh pengembang aslinya. Dengan menguasai pustaka tersebut, penyerang dapat menyebarkan kode berbahaya secara massal melalui pembaruan aplikasi yang tampaknya sah.
