論文の概要: Supply Chain Insecurity: Exposing Vulnerabilities in iOS Dependency Management Systems
- arxiv url: http://arxiv.org/abs/2601.20638v1
- Date: Wed, 28 Jan 2026 14:27:14 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-29 15:46:06.969521
- Title: Supply Chain Insecurity: Exposing Vulnerabilities in iOS Dependency Management Systems
- Title(参考訳): サプライチェーンのセキュリティ - iOS Dependency Management Systemにおける脆弱性の公開
- Authors: David Schmidt, Sebastian Schrittwieser, Edgar Weippl,
- Abstract要約: 依存性管理システムはソフトウェア開発において重要なコンポーネントであり、既存の機能を効率的に組み込むことができる。
スマートフォンアプリの普及にもかかわらず、iOSソフトウェアサプライチェーンにおける依存性管理システムのセキュリティは、あまり注目されていない。
CocoaPodsはiOSアプリ開発において最も広く使用されている依存性管理システムのひとつですが、CarthageとSwift Package Managerのセキュリティについても検討しています。
- 参考スコア(独自算出の注目度): 3.8870795921263728
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Dependency management systems are a critical component in software development, enabling projects to incorporate existing functionality efficiently. However, misconfigurations and malicious actors in these systems pose severe security risks, leading to supply chain attacks. Despite the widespread use of smartphone apps, the security of dependency management systems in the iOS software supply chain has received limited attention. In this paper, we focus on CocoaPods, one of the most widely used dependency management systems for iOS app development, but also examine the security of Carthage and Swift Package Manager (SwiftPM). We demonstrate that iOS apps expose internal package names and versions. Attackers can exploit this leakage to register previously unclaimed dependencies in CocoaPods, enabling remote code execution (RCE) on developer machines and build servers. Additionally, we show that attackers can compromise dependencies by reclaiming abandoned domains and GitHub URLs. Analyzing a dataset of 9,212 apps, we quantify how many apps are susceptible to these vulnerabilities. Further, we inspect the use of vulnerable dependencies within public GitHub repositories. Our findings reveal that popular apps disclose internal dependency information, enabling dependency confusion attacks. Furthermore, we show that hijacking a single CocoaPod library through an abandoned domain could compromise 63 iOS apps, affecting millions of users. Finally, we compare iOS dependency management systems with Cargo, Go modules, Maven, npm, and pip to discuss mitigation strategies for the identified threats.
- Abstract(参考訳): 依存性管理システムはソフトウェア開発において重要なコンポーネントであり、既存の機能を効率的に組み込むことができる。
しかし、これらのシステムにおける不正設定や悪意あるアクターは深刻なセキュリティリスクを引き起こし、サプライチェーン攻撃を引き起こす。
スマートフォンアプリの普及にもかかわらず、iOSソフトウェアサプライチェーンにおける依存性管理システムのセキュリティは、あまり注目されていない。
本稿では,iOSアプリ開発において最も広く使用されている依存性管理システムの1つであるCocoaPodsに着目し,CarthageとSwift Package Manager(SwiftPM)のセキュリティについても検討する。
われわれはiOSアプリが内部パッケージ名とバージョンを公開することを実証した。
攻撃者はこのリークを利用して、これまで未解決だった依存関係をCocoaPodsに登録し、開発者マシンやビルドサーバ上でのリモートコード実行(RCE)を可能にする。
さらに、アタッカーは放棄されたドメインとGitHubURLを再利用することで依存関係を妥協できることを示す。
9,212のアプリのデータセットを分析し、これらの脆弱性に影響を受けるアプリの数を定量化します。
さらに、パブリックなGitHubリポジトリ内での脆弱な依存関係の使用についても検討する。
以上の結果から,人気アプリが内部依存性情報を開示し,依存性の混乱攻撃を可能にすることが判明した。
さらに、放棄されたドメインを通じて1つのCocoaPodライブラリをハイジャックすると、63のiOSアプリが汚染され、数百万のユーザが影響を受ける可能性があることも示しています。
最後に、iOSの依存性管理システムをCargo、Goモジュール、Maven、npm、ipと比較し、特定された脅威に対する緩和戦略について議論する。
関連論文リスト
- Cross-Service Token: Finding Attacks in 5G Core Networks [58.86003502940164]
5GコアSBIのセキュリティ欠陥を明らかにするために設計された文法ベースのファジリングフレームワークであるFivGeeFuzzを紹介する。
FivGeeFuzzを使って、Free5GCでこれまで知られていなかった8つの脆弱性を発見しました。
論文 参考訳(メタデータ) (2025-09-10T20:40:33Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。
セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。
我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
論文 参考訳(メタデータ) (2025-02-10T16:50:48Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - Analysis of Library Dependency Networks of Package Managers Used in iOS
Development [3.46067608522128]
Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Manager(PM)のライブラリを含んでいる。
CocoaPodsは、最大のライブラリセットを持つパッケージマネージャであるが、他のパッケージマネージャとの違いは、期待ほど大きくはない。
Swift PMはますます人気を集めており、結果として他の2つのパッケージマネージャの成長が徐々に鈍化している。
論文 参考訳(メタデータ) (2023-05-18T12:14:19Z) - Vulnerability Propagation in Package Managers Used in iOS Development [2.9280059958992286]
脆弱性はよく知られたライブラリでも見られる。
Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。
公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
論文 参考訳(メタデータ) (2023-05-17T16:22:38Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。