人気の依存関係マネージャー CocoaPods のセキュリティ上の脆弱性により、数百万個の iOS アプリのセキュリティが侵害された可能性があります。

ソフトウェア開発者は、製品開発のスピードアップを図るため、他社や開発者が作成したコードを利用することがよくあります。他のソースからのコード（依存関係）の管理を容易にするために、開発者は依存関係マネージャーと呼ばれるツールを使用します。Appleプラットフォーム向けの開発でも同様で、iOSアプリで最も人気のある依存関係マネージャーはCocoaPodsです。

先週の月曜日、プロジェクトのメンテナーは、最近発見され、2015年6月からソフトウェアに存在していたセキュリティ問題を明らかにする声明を発表しました。このため、攻撃者はこの問題を悪用する十分な時間を持つことができました。

問題は、CocoaPodsリポジトリに公開された悪意のあるパッケージが、それを管理しているサーバー上で任意のコードを実行できるという点でした。これにより、既存のパッケージが悪意のあるバージョンに置き換えられ、最終的には世界中の何百万人ものユーザーが使用するiOSアプリやMacアプリに組み込む可能性があります。

CocoaPods を採用している人気アプリの一例として、プライバシー重視のメッセージングアプリである Signal が挙げられます。Signal が使用する依存関係の 1 つに対して綿密に計画された攻撃が行われた場合、ユーザーデータが漏洩する可能性があります。しかし、Signal が使用する依存関係はアプリ開発チームによって監査されており、悪意のあるコードやセキュリティ上の問題が含まれていないことが確認されているため、このようなシナリオは考えにくいでしょう。しかしながら、すべての開発者が依存関係を扱う際にこの慣行を守っているわけではありません。

コメントの要請に対し、Signal は以下の声明を発表しました。

Signal はこの脆弱性の影響を受けませんでした。通常、サードパーティの依存関係はすべて、追加時と更新時の両方で監査を実施しています。監査を容易にし、予期せぬ変更を防ぐため、すべての依存関係のコピーを独自に保管しています。コピーはこちらでご覧いただけます。さらに、この脆弱性について知った後、追加の監査を実施し、該当リポジトリのコードがすべての依存関係のタグと一致していることを確認しました。

この脆弱性が悪用された形跡はなく、サーバー側で修正されているため、開発者とユーザーは特別な対応をする必要はありません。この修正の影響を受けるのは、CocoaPodsに独自のパッケージを公開している開発者のみです。これらの開発者の認証トークンは、万が一この脆弱性によって漏洩する可能性があるため、リセットされています。

CocoaPods を使用する開発者や依存関係マネージャーを扱う開発者にとって、これは依存関係マネージャーとそれらが提供する依存関係は本質的に信頼すべきではないことを思い出させるものとなります。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。