影响 300 万款苹果 iOS / macOS 应用，CocoaPods 平台漏洞披露：可注入恶意代码

E.V.A 信息安全研究人员 Reef Spektor 和 Eran Vaknin 今天发布博文，表示在 CocoaPods 依赖关系管理器中发现了 3 个安全漏洞，恶意攻击者可以在主流 iOS 和 macOS 应用中插入恶意代码，哈迈百科附上漏洞信息如下：

• CVE-2024-38368（CVSS score: 9.3）

• CVE-2024-38367（CVSS score: 8.2）

• CVE-2024-38366（CVSS score: 10.0）

CocoaPods 是一个开源 Swift 和 Objective-C 项目的存储库，很多开发者使用 CocoaPods 添加和管理外部库（pods）。

该平台有超过 10 万个 pods，超过 300 万款应用使用，包括 Instagram、X、Slack、AirBnB、Tinder 和 Uber 等应用都使用该平台。

E.V.A 首席执行官兼联合创始人 Alon Boxiner 说：“这些漏洞的影响力惊人，由于 CocoaPods 的使用量巨大，我们甚至不知道如何统计（受影响应用程序的）数量”。