Lỗi phát hiện trong Cocoapods, trình quản lý phụ thuộc (Dependency Manager) cho các dự án mã hóa bằng Swift và Objective-C, được cho là đã tồn tại từ năm 2014. Sự di chuyển máy chủ không suôn sẻ đã khiến hàng nghìn gói thư viện phần mềm trở thành “mồ côi”, không còn liên kết với tệp gốc và không thể truy xuất nguồn gốc. Điều này mở ra cơ hội cho kẻ tấn công thay thế mã gốc bằng mã độc hại.
"Với lỗ hổng bảo mật này, các gói phần mềm có thể bị chiếm đoạt và sử dụng để tiêm nhiễm mã độc vào công cụ phát triển phần mềm," đại diện nhóm nghiên cứu cảnh báo. "Việc lỗ hổng tồn tại lâu dài đã khiến hàng nghìn ứng dụng và triệu thiết bị có thể đã bị ảnh hưởng trong nhiều năm qua."
Khi nhiều ứng dụng có quyền truy cập vào thông tin nhạy cảm của người dùng như thẻ tín dụng, hồ sơ y tế, và tài liệu riêng tư, nguy cơ bị tấn công trở nên nghiêm trọng hơn. Hacker có thể lợi dụng lỗ hổng này để cài đặt ransomware hoặc các loại mã độc khác nhằm thu thập dữ liệu nhạy cảm.
Nhóm nghiên cứu cũng chỉ ra rằng Apple là trung tâm của vấn đề này, vì hầu hết các ứng dụng trên iOS và macOS đều được mã hóa bằng Swift và Objective-C, bao gồm nhiều cái tên nổi tiếng như TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, và Messenger. Điều này khiến hàng nghìn ứng dụng trên các nền tảng này có thể bị ảnh hưởng, và một cuộc tấn công có thể lây nhiễm cho hầu hết các thiết bị của Apple, gây tổn hại nghiêm trọng về tài chính và danh tiếng cho nhiều tổ chức.
Mặc dù Cocoapods đã khắc phục lỗi này, sự tồn tại gần một thập kỷ mà không được phát hiện vẫn là mối lo ngại lớn. Nhóm nghiên cứu khuyến cáo các nhà phát triển nên rà soát mã nguồn của sản phẩm để xác định liệu phần mềm của mình có bị ảnh hưởng hay không. Apple hiện chưa đưa ra bất kỳ bình luận nào về vấn đề này.